-
Gesamte Inhalte
2.006 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von v-rtc
-
-
vor 2 Stunden schrieb MurdocX:
Ohne Anpassungen an Clients oder User-Objekten durchführen zu müssen, kannst du das mit einem "Group Managed Service Account" erreichen. Ich vermute mal, dass es das ist was du suchst.
Schau mal hier:
- Group Managed Service Accounts Overview | Microsoft Learn
- Getting Started with Group Managed Service Accounts | Microsoft Learn
Warum ist die Frage nicht einfach zu beantworten?
Es gibt mehrere Service-Typen. Service Accounts | Microsoft Learn
- Virtuelle Accounts
- Managed Service Account
- Group Managed Service Account
- Benutzer Account (Kann dafür genutzt werden. Hat auch Nachteile)
VG,
Jan
Darf ich kurz fragen was ein virtueller Account ist?
-
Und AD Anmeldung nannten wir immer LDAP… ☺️
-
-
Vielen Dank fürs Bescheid geben 👍
-
Sehr gute Frage, wir hatten für 4-6 Admins jeweils einzelne Server. Im Grunde ist die TS Idee aber deutlich besser und lizenztechnisch, würde ich vermutlich auch zum Pack tendieren und gut ist 👍
-
vor 2 Stunden schrieb zahni:
Aus Raider wird Twix
Sonst ändert sich nix ;)
-
Hi, spannende Frage. Wäre aktuell auch etwas mein Eindruck… und aber auch die MS Lastigkeit… sind die anderen wirklich so alternativlos? 😶
-
Ich Liebe Bänder
- 1
-
vor 13 Stunden schrieb daabm:
Wenns wichtig ist frag ich rum - wir haben das wohl im DefaultSD von gMSA angepaßt, weiß nur nicht was genau weil ich nicht dran beteiligt war...
Frag gerne mal nach, würde andere auch interessieren ;)
-
vor einer Stunde schrieb cj_berlin:
5000 Zeilen Text und Du nur n kurzer Link 😂 köstlich ☺️
-
vor 3 Minuten schrieb HeizungAuf5:
Wenn ich die Funktion richtig interpretiere, sorgt diese dafür, dass alle Änderungen vom Produktiven System sofort auf das Testsystem übertragen werden?
Ja Intervall legt man selbst fest…
es ist aber wohl angekündigt in einer kommenden Version
-
Database Mirror vielleicht eine Option? Zu den anderen zuvor?
-
Ich frag mich, wie man sowas überhaupt noch gemanaged bekommt 😵💫
krasse Beschleunigung
-
vor 1 Stunde schrieb MurdocX:
Falls du unterfordert sein solltest, hier wären noch weitere Themen zum anknüpfen:
- Supportete u. mit aktueller Firmware Netzwerkkomponenten
- Sammeln (und auswerten) der Logs der Netzwerkkomponenten
- Härten der Netzwerkkomponenten
- Blick auf die Passwortrichtlinien werfen
- Regelmäßiges wechseln der Admin- u. Service-User Passwörter (krbtgt nicht vergessen...)
- Authentifizierungsrichtlinien für Service-User (FGPP)
- Nicht benötigte SPNs entfernen
- Umgebung auf AES128 umstellen (RC4 deaktivieren)
- Beschränken der Berechtigungen zum Erstellen von Tasks
- Schwachstellen-Management (und ja, das macht Arbeit ;) )
- NTLM beschränken
- HVCI (und auch aktuell halten)
- Näheren Blick auf CIS u. STIGs werfen
- Updatestand auf den Servern und Clients aktuell halten
Coole Liste. Härten der Netzwerkgeräte bedeutet unnötige Zeilen entfernen oder gibt es da noch mehr? Mein Wissen ist leider von 2017 noch…und ja Schwachstellenmgmt ist ein riesiger Aufwand :-(
-
vor 40 Minuten schrieb mwiederkehr:
Das Marketing wirkt leider und ich sehe immer wieder Firmen, die lieber Geld für "AI-enhanced Cloud Security" oder "Managed Detection and Response" ausgeben als für organisatorische Massnahmen, obwohl letztere aus meiner Sicht mehr bringen würden. So trifft man immer noch Umgebungen an, in denen der Azubi sich als Domain-Admin auf dem Printserver einloggt, um im Internet nach Druckertreibern zu suchen. Oder Scripts per Taskplaner als Domain-Admin ausgeführt werden, aus für Benutzer schreibbaren Verzeichnissen. Aber man fühlt sich gut geschützt durch "360° Total Insight Premium Cloud Edition".
Werbung funktioniert, Gefahrenmeldungen werden ignoriert… :-|
-
vor 9 Stunden schrieb daabm:
Aus dem Alltag eines Umsetzungsveranstalters... Einführung von Tier-Trennung und Eliminieren von NTLM-Auth:
Du mußt jedem erst mal erklären, warum er jetzt ne Domain mit angeben muß.
Du mußt danach jedem auch erklären, daß es überhaupt verschiedene Domains gibt und warum das wichtig ist.
Danach erklärst Du dann den "Doppel-Tier-Leuten", warum sie jetzt 2 Accounts haben und mit denen jeweils andere Dinge können bzw. eben nicht können. Und warum das alles vom Arbeitsplatz aus gar nicht mehr geht.
Damit hast Du die Basics der Tier-Trennung aus Sicht "Admin-Accounts" beinahe durch - wenn man ignoriert, daß "eigentlich" auch alle Peripheriesysteme (Identity Management, Systems Management, Inventory Scanner etc.) getrennt aufgebaut werden müssen. Das bezahlt aber quasi niemand, da wirst Du Kompromisse eingehen müssen. Das Thema PAW ist damit auch noch ungelöst - wir haben's mit CyberArk gemacht. MFA ebenso.
Und gegen "verschlüsselt in der Ecke" hilft das auch nur bedingt. Im Kontext des Work-Accounts kann man halt immer alles verschlüsseln, auf das der Work-Account Schreibrechte hat.
Wenn Du (wie wir) gleichzeitig versuchst, NTLM loszuwerden, mußt Du dann jedem erklären, warum sein Adminserver jetzt nicht nur seine Zielserver erreichen muß, sondern auch ziemlich viele DCs. Und warum DNS-Aliase nicht mehr funktionieren. Und warum er plötzlich nicht mehr auf \\10.0.1.15\c$ kommt... ("Ging doch bisher immer")
Dann aktivierst Du LDAP Channel Binding und stellst fest, daß Deine Loadbalancer für LDAPS über Nacht unbrauchbar geworden sind, weil sie SSL terminieren.
Und dann merkst Du, daß die meisten MFP (Scan to Folder) zwar Kerberos unterstützen, aber daran sterben, wenn der Serviceaccount nicht im Realm der Domain ist. Und daß auch ganz viele Drittanbieter Kerberos "unterstützen", aber nur wenn alles in einem Realm liegt.
Daran stirbt übrigens sogar .NET - System.DirectoryServices.AccountManagement verträgt es nicht, wenn der ausführende Account aus einer trusted Domain kommt: https://github.com/dotnet/runtime/issues/95676. Und es stirbt auch, wenn GetAuthorizationGroups aufgerufen wird, der Zielaccount Mitglied von Gruppen ist, die ForeignSecurityPrincipals als weitere Mitglieder haben (warum das überhaupt geprüft wird, weiß nur MS) und der ausführende Account keine Leserechte auf die FSP-Objekte hat.
Citrix PVS hat auch ganz lustige Probleme mit Trusts. Die checken nämlich an bestimmten Stellen nicht "reale" Gruppenmitgliedschaften von Serviceaccounts, sondern schauen ins AD. Konkret mußte ein Serviceaccount aus einer trusted Domain dort (!) in eine domain local (!) Group... 🙈
Wenn Du dann noch aufgrund "organisatorischer Anforderungen" (= Management-Wünsche) disjoint Namespaces hast, dann hast Du jetzt richtig Spaß an der Sache 😁 Und bist für mehrere Jahre unentbehrlich .
Da fließt noch sehr viel Wasser ins Meer...
PS: Wir haben ~8.000 MA im Konzern.
Heilige F***krütze 😳
-
vor 20 Minuten schrieb NorbertFe:
Ähm. Was genau ist jetzt der Weg den man gehen muss, wenn man was nutzt?
Man muss sich damit befassen und schauen was für einen Sinn ergibt und machbar ist. Deshalb ein guter Weg, wenn man aktiv ist mehr wollte ich damit nicht sagen. Kenne die Umgebung auch nicht.
-
Wer es nicht macht, handelt aus meiner Sicht relativ grob fahrlässig. Security kostet viel Zeit auch bei der Administration. Daher ist es aus meiner Sicht der Weg den man gehen muss, wenn man das nutzt.
Es gibt sicher viele die es nicht machen, da wäre mir das Risiko zu hoch. Daher Glückwunsch dass Ihr das getan habt. -
Der seit langem erste Newsletter den ich komplett mit Freude gelesen habe. Vielen Dank und Glückwunsch 👍
- 1
- 2
-
Halt uns gerne auf dem Laufenden… wenn Ihr MS einsetzt, denke ich ist Azure nicht die schlechteste Idee
-
Verstehe die ganzen Firmen nicht die nun soweit, zum Teil sind, alles an MS Azure „raus“ zu geben… sind alle so naiv? :o(
-
Geht wieder alles?
-
vor 18 Minuten schrieb zahni:
Frage: Warum gibt es auf produktiven VMs aktive Snapshots? Das macht man höchstens via Storage. Ansonsten kostet das jede Mange Performance und braucht HDD-Platz.
Ausnahmen bestätigen die Regel
-
vor 1 Stunde schrieb Damian:
Hi
Vor allem: Man spart ja im eigenen Haus Arbeitsplätze aka Menschen ein. In der BWL-Etage zieht das wie frischer Kaffee.
VG
Damian
Die Preise für Cloud möchte ich nicht wissen 🤗 glaub da werden die irgendwann meckern.
Nils hast schon recht, Kinderschuhe sind es nicht mehr. Trotzdem hat sich am Grundthema, Daten aus der Firma geben, nicht so viel geändert, oder doch?
vor einer Stunde schrieb mwiederkehr:Der Unterschied zu früher ist jetzt wohl, dass auch bei kleineren Unternehmen die Anforderungen an die Verfügbarkeit der IT massiv gestiegen sind. Früher hat man ohne grosses Murren gewartet, bis der Restore vom NTBackup fertig war und halt einen halben Tag lang das Büro aufgeräumt. Bei den heutigen papierlosen Büros gibt es nichts mehr aufzuräumen und ohne IT funktioniert nicht mal das Telefon. Da hat die Cloud schon ihre Vorteile.
Das find ich völlig irre im Notfall 🥸
wie die Spiegel an den LKWs, mögen sie immer funktionieren…
Windows Server 2022 - Service-Account?
in Active Directory Forum
Geschrieben
Habs trotzdem nicht verstanden deshalb gefragt ;)
Vielen Dank 🙏