Bei einem DC gibt es ja keine lokalen Gruppen mehr. Eine Zuweisung an einzelne Benutzer ist praktisch nie sinnvoll, da das die Administration sehr unübersichtlich macht. Im Active Directory können Zugriffsberechtigungen mit unterschiedlichen Werkzeugen gesetzt werden. Hallo zusammen, ich hätte eine Frage zu Berechtigungen auf einem DC. Die Zuordnung der Berechtigungen ist ein wesentlicher Teil der Sicherung des Active Directory.

)Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Mitglieder dieser Gruppe haben Zugriff auf das berechnete Token-GroupsGlobalAndUniversal-Attribut für Benutzerobjekte.Members of this group have access to the computed token GroupsGlobalAndUniversal attribute on User objects.Einige Anwendungen verfügen über Features, die das Token-Groups-Global-and-Universal-Attribut (TGGAU) auf Benutzerkontoobjekten oder auf Computerkontoobjekten in Active Directory-Domänendiensten lesen.Some applications have features that read the token-groups-global-and-universal (TGGAU) attribute on user account objects or on computer account objects in Active Directory Domain Services.Einige Win32-Funktionen machen es einfacher, das TGGAU-Attribut zu lesen.Some Win32 functions make it easier to read the TGGAU attribute.Anwendungen, die dieses Attribut lesen oder eine API aufrufen (die als Funktion bezeichnet wird), die dieses Attribut liest, haben keinen Erfolg, wenn der aufrufende Sicherheitskontext keinen Zugriff auf das Attribut hat.Applications that read this attribute or that call an API (referred to as a function) that reads this attribute do not succeed if the calling security context does not have access to the attribute.Diese Gruppe wird als SID angezeigt, bis der Domänencontroller als primärer Domänencontroller fungiert und die Betriebsmasterrolle (auch als flexible Einzelmaster-Vorgänge oder FSMO bezeichnet) enthält.This group appears as a SID until the domain controller is made the primary domain controller and it holds the operations master role (also known as flexible single master operations or FSMO).Die Windows-Autorisierungs Zugriffsgruppe gilt für Versionen des Windows Server-Betriebssystems, die in der The Windows Authorization Access group applies to versions of the Windows Server operating system listed in the Diese Gruppe kann nicht umbenannt, gelöscht oder verschoben werden.Diese Sicherheitsgruppe hat sich seit Windows Server 2008 nicht geändert.This security group has not changed since Windows Server 2008.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?Auf dieser Registerkarte werden die Sicherheitseigenschaften einer Remotedateifreigabe angezeigt.This tab displays the security properties of a remote file share.Damit diese Informationen angezeigt werden, müssen Sie über die folgenden Berechtigungen und Mitgliedschaften verfügen, wie sinnvoll die Version von Windows Server, auf der der Dateiserver ausgeführt wird.To view this information, you must have the following permissions and memberships, as appropriatefor the version of Windows Server that the file server is running.Die Gruppe WinRMRemoteWMIUsers_ gilt für Versionen des Windows Server-Betriebssystems, die in der The WinRMRemoteWMIUsers_ group applies to versions of the Windows Server operating system listed in the Wenn die Dateifreigabe auf einem Server gehostet wird, auf dem eine unterstützte Version des Betriebssystems ausgeführt wird:If the file share is hosted on a server that is running a supported version of the operating system:Sie müssen ein Mitglied der WinRMRemoteWMIUsers__-Gruppe oder der BUILTIN\Administrators-Gruppe sein.You must be a member of the WinRMRemoteWMIUsers__ group or the BUILTIN\Administrators group.Sie benötigen Leseberechtigungen für die Dateifreigabe.Wenn die Dateifreigabe auf einem Server gehostet wird, auf dem eine Version von Windows Server ausgeführt wird, die älter als Windows Server2012 ist:If the file share is hosted on a server that is running a version of Windows Server that is earlier than Windows Server2012:Sie müssen ein Mitglied der BUILTIN\Administrators-Gruppe sein.You must be a member of the BUILTIN\Administrators group.Sie benötigen Leseberechtigungen für die Dateifreigabe.In Windows Server2012 fügt die Funktion Zugriff verweigerte Unterstützung die Gruppe Authentifizierte Benutzer zur lokalen WinRMRemoteWMIUsers__-Gruppe hinzu.In Windows Server2012, the Access Denied Assistance functionality adds the Authenticated Users group to the local WinRMRemoteWMIUsers__ group.Wenn die Unterstützungsfunktion für Zugriff verweigert aktiviert ist, können alle authentifizierten Benutzer, die über Leseberechtigungen für die Dateifreigabe verfügen, die Dateifreigabeberechtigungen anzeigen.Therefore, when the Access Denied Assistance functionality is enabled, all authenticated users who have Read permissions to the file share can view the file share permissions.Mit der WinRMRemoteWMIUsers_-Gruppe können Windows PowerShell-Befehle remote ausgeführt werden, während die Gruppe The WinRMRemoteWMIUsers_ group allows running Windows PowerShell commands remotely whereas the Diese Sicherheitsgruppe wurde in Windows Server2012 eingeführt und hat sich in späteren Versionen nicht geändert.This security group was introduced in Windows Server2012, and it has not changed in subsequent versions.Sicher, dass die Verwaltung dieser Gruppe an nicht-Service-Administratoren delegiert wird?Safe to delegate management of this group to non-Service admins?

Am wichtigsten ist aber wohl, die Rechtevergabe so transparent wie möglich zu gestalten, da es sonst fast unmöglich wird, die NTFS-Rechte zu administrieren.

Bei den Standardsicherheitseinstellungen ab Windows 2000 gibt es keinerlei Einschränkungen der Administratorrechte auf Registrierungs- oder Dateisystemobjekte.

Von diesen ACLs sind die eigentlichen Berechtigungen in der Discretionary ACL (DACL) enthalten, dieses wiederum besteht aus einzelnen Access Control Entries (ACEs). für jeden Ordner und jede Datei in einem Dateisystem können im Active directory jede …