Domain Admins - Zugriffsrechte, Gruppenrechte, Admin auf PC ... [SOLVED]

[stm999999999]

Hi!

ich habe eine Verständnisfrage zum Benutzersytem, was die Admins angeht. Bitte korrigiert mich, wo ich falsch liege:

Wenn ich auf Zentyal ein AD einrichte, dann wird automatisch eine Gruppe Domain Admins eingerichtet.

Um einen PC in die Domäne aufzunehmen, muß ich einen Account benutzen, den ich in diese Gruppe gesteckt habe. zB einen Admin_domain.

So ein Admin_domain hat damit aber keinerlei Zugriffsrechte auf die Zentyal-Weboberfläche oder linux-login, nur wegen dieser Gruppenzugehörigkeit. (letzteres aber doch, wenn ich PAM aktiviere, oder?)

Wenn ein Domänennutzer auf einem der angeschlossenen PCs Admin-Rechte haben soll, zB für Softwareinstallationen oder so, dann mache ich das wie? Muß der in die Zentyal-Gruppe Domain Admins? Oder kann ich das irgendwie anders machen?


Und dann fiel mir mittels getfacl auf: Alle Freigaben sind immer mit der (linux)-Gruppe Administrators versehen - und ich kann mit einem Admin_domain, auf dem PC eingeloggt, auf ALLE Freigaben zugreifen, auch wenn der Nutzer oder seine Gruppen nicht ausdrücklich in die ACL für die Freigabe aufgenommen wurde!?

Ist das so oder mache ich was falsch?

Was kann ich machen, damit ein Admin-User zwar auf den PC als Admin zugreifen kann. Eben um Software zu installieren, TrueImage konfigurieren, .... Aber der soll nicht auf alle - teils vertraulichen - Freigaben auf Zentyal zugreifen können!

Geht das nur über einen lokalen Admin-Account, der nicht zur Domäne gehört?

[UdoB]

Wenn ein Domänennutzer auf einem der angeschlossenen PCs Admin-Rechte haben soll, zB für Softwareinstallationen oder so, dann mache ich das wie? Muß der in die Zentyal-Gruppe Domain Admins?

Nein! Einen "normalen" Benutzer "johndoe", der in Zentyal angelegt wurde, packst du manuell an dem PC in die Gruppe "Administratoren". Diese Gruppe ist für die lokale Verwaltung vorgesehen und die Mitglieder haben die identischen Rechte wie der klassische, einzelne Administrator.

Die AD Gruppe "Domain Admins" ist per Default ebenfalls Mitglied in den lokalen Gruppen "Administratoren". Darum kann ein Domain Admin auch lokale PC verwalten.

[stm999999999]

Nein! Einen "normalen" Benutzer "johndoe", der in Zentyal angelegt wurde, packst du manuell an dem PC in die Gruppe "Administratoren".

das auf allen Rechnern manuell zu machen, ist aber ganz schön aufwendig. Vor allem wenn sich dieser Account auch mal ändert.

Aber es hat mir die richtige Richtung gewiesen. Vielleicht hilft es ja noch anderen:

a) ich habe eine zentyal Gruppe lokale Admins erstellt. Darüber regel ich - personell - die Zuordnung zentral auf zentyal und nicht auf jedem Rechner einzeln.

Dann muß diese Gruppe auf den Rechnern in die lokale Gruppe Administratoren aufgenommen werden. Entweder manuell über "Domänenbenutzern administrative Rechte zuteilen" - erweitert - erweitert - Gruppen - Administratoren - hinzufügen - DOMAIN\lokale Admins

oder per GPO:

VerknüpfungenStandort   Erzwungen   Verknüpfungsstatus   Pfad
joseph   Nein   Aktiviert   joseph.lan


Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
Sicherheitsfilterung
Die Einstellungen dieses Gruppenrichtlinienobjekts können nur auf folgenden Gruppen, Benutzer und Computer angewendet werden:Name
NT-AUTORITÄT\Authentifizierte Benutzer

Delegierung
Folgende Gruppen und Benutzer haben die angegebene Berechtigung für das GruppenrichtlinienobjektName   Zulässige Berechtigungen   Geerbt
JOSEPH\Domain Admins   Einstellungen bearbeiten, löschen, Sicherheit ändern   Nein
JOSEPH\Enterprise Admins   Einstellungen bearbeiten, löschen, Sicherheit ändern   Nein
NT-AUTORITÄT\Authentifizierte Benutzer   Lesen (durch Sicherheitsfilterung)   Nein
NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION   Lesen   Nein
NT-AUTORITÄT\SYSTEM   Einstellungen bearbeiten, löschen, Sicherheit ändern   Nein

Computerkonfiguration (Aktiviert)
Richtlinien
Windows-Einstellungen
Sicherheitseinstellungen
Eingeschränkte GruppenGruppe   Mitglieder   Mitglied von
JOSEPH\lokale Admins      VORDEFINIERT\Administratoren

[majestyx]

den domain admin gibt es bei zentyal seit samba4 .... das ist der windoof AD geschuldet.
eine gruppe LAN Admins ist 'ne einladung - aber bestimmt kein sicherheitsfeature....

windoof hat (aber auch garnix) mit "richtiger" komjuderei zu tun....
wie wärs mal mit einem Netzwerk (Grundlagen) Buch ?

[stm999999999]

eine gruppe LAN Admins ist 'ne einladung - aber bestimmt kein sicherheitsfeature....

Du kannst sicher erläutern, was an einem per GPO vorgegebenen lokalem Admin-Zugang auf den PCs falsch sein sollte, wenn man eben genau das erreichen will: Es soll Admins geben, die nichts mit der Domänenverwaltung am Hut haben (sollen) und  auch nicht einfach auf alle Freigaben zugreifen können sollen, aber eben auf den Rechnern nötige Admin-Aufgaben erledigen sollen.

[steffenromeiss]

den domain admin gibt es bei zentyal seit samba4 .... das ist der windoof AD geschuldet.
eine gruppe LAN Admins ist 'ne einladung - aber bestimmt kein sicherheitsfeature....

windoof hat (aber auch garnix) mit "richtiger" komjuderei zu tun....
wie wärs mal mit einem Netzwerk (Grundlagen) Buch ?

Deswegen gibt es so wenige Windoof Computer auf der Welt...
Kannst du mir ein Buch empfehlen? Ich suche schon lange was zum Nachschlagen, finde aber nix, wahrscheinlich mangels Suchideen... :-(

[majestyx]

die menge der laufenden windoof pc spricht nicht dafür das windoof auch Qualität bietet, schon mal was vom wintel Kartell gehört? über 400mio. euro "wettbewerbstrafe" - ab welcher summe gilt den so eine bande als kriminelle Vereinigung?

Netzwerk buch .. Grundlagen. schau doch mal nach wikibook(s) oder linux dokumentations projekt... o're***** - ich will jetzt keine werbung machen

achja, und [Solved] wäre nett....