toao

Hi Robinho1986, zum Thema "Wo wird der Domain-Admin genutzt" ein paar potentielle Anwendungsbereiche: - Scheduled Tasks - Local Services - IIS Application Pool - Scripts, batches - Tools, Applications Richtig, dass alles solltest Du versuchen mit einem Script abzufragen. Zusätzlich könntest Du auch etwas über die nachfolgenden Windows EventIDs (auf den Domain Controllern) herausbekommen (auch mit ins Script einarbeiten): Kerberos: 4768: A Kerberos authentication ticket (TGT) was requested. 4769: A Kerberos service ticket was requested. 4770: A Kerberos service ticket was renewed. NTLM: 4779: The computer attempted to validate the credentials for an account. *Bitte prüfe ob das Auditing zumindestens für die oben genannte EventID's, bei Euch entsprechend eingerichtet ist. Du erhälst in allen EventIDs zwar nicht den genauen Prozess, Service serviert, jedoch die IP-Adresse(Hostname) des Endsystems. Quasi ein Anfang um weitere Nachforschungen durchzuführen. Sobald es ans eingemachte geht, den Domain-Admins gegen einen Service-Account zu tauschen, bitte favorisiere als Service-Account immer einen MSA/GMSA (object class ms-DS-Group-Managed-Service-Account) wo immer es geht und nicht einen Service-Account auf Basis der object class: user. Je nach Größe des Unternehmens, kannst Du damit sicherlich ersteinmal ordentlich zu tun haben. Das Tiering- und Delegation Model würde ich sagen ist nie verkehrt. Da müsst Ihr schauen welche Kapazitäten ihr habt das parallel laufen zulassen , wie versiert Ihr mit der Delegierung von Berechtigungen im AD seid und einiges mehr. Da kann man sich schnell verlieren und soetwas muss sorgfältig geplant und durchgeführt werden. Viel Erfolg beim Aufspühren der Nutzung des Domänen-Admins in den nächsten Tagen und Wochen :) Toao