Ich habe Bedarf bei einem Client mit bidirektionaler Vertrauensstellung (das Quellunternehmen möchte nicht, dass wir über vollständige Administratorrechte verfügen, deshalb haben wir viele Berechtigungsprobleme).
Wir benötigen tatsächlich Domänenadministratorrechte, aber nur für eine einzige Organisationseinheit.
- Was passiert, wenn ich ein Konto in die Domänenadministrator-Sicherheitsgruppe einfüge und dann für alle anderen Organisationseinheiten explizit die Berechtigung verweigere?
- Kann ein Domänenadministrator überhaupt von expliziten Ablehnungen betroffen sein?
Antwort1
Explizite Verweigerungsberechtigungen haben immer Vorrang vor expliziten oder übernommenen Gewährungsberechtigungen. Eine Verweigerung bewirkt also tatsächlich, was Sie verlangen. Ein Benutzer mit effektiven Administratorrechten kann diese Berechtigungen jedoch zwangsweise ändern, indem er den Besitz von Objekten übernimmt und ACLs zurücksetzt. Eine Verweigerung blockiert einen Administratorbenutzer also nur so lange, wie er nicht dagegen ankämpfen möchte.
Ein typisches Beispiel: In Exchange-Umgebungen verfügen die Gruppen „Domänenadministratoren“ und „Unternehmensadministratoren“ über eine explizit verweigerte ACL für die Berechtigungen „Empfangen als“ und „Senden als“ für alle Benutzerobjekte, sodass administrative Benutzer die Postfächer anderer Personen nicht öffnen können. Als administrative Benutzer können sie diese Berechtigungen jedoch jederzeit entfernen und sind somit durchaus in der Lage, jedes beliebige Postfach zu öffnen, wenn sie dies wirklich möchten.
Ein viel einfacherer und effektiverer Ansatz wäre, dem Benutzerkonto keine Administratorrechte zu erteilen, sondern ihm Vollzugriff auf die von ihm verwaltete Organisationseinheit und alle ihre untergeordneten Objekte zu gewähren.
Übrigens können Sie ein externes Benutzerkonto aus einer vertrauenswürdigen Domäne nicht in einer globalen Domänengruppe wie „Domänenadministratoren“ platzieren. Sie können es nur in einer lokalen Domänengruppe wie „Administratoren“ oder in einer lokalen Gruppe auf Mitgliedscomputern platzieren.