Jump to content

Zugriff auf Subdomäne verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

folgendes Szenario:

Haupdomäne: microsoft.com

Subdomäne: linux.microsoft.com

 

Beide Domäne mit W2k3 R2 installiert.

 

Kann ich verhindern, dass ein Administrator der Hauptdomäne auf die Subdomäne linux.microsoft.com zugreifen kann?

 

In meinen Testszenario, kann sich der Admin der Hauptdomäne microsoft.com jederzeit die "Active Directory-Benutzer und -Computer" als mmc-Snapin holen und entsprechend ändern, obwohl die Administrator-Passwörter der beiden Domänen unterschiedlich sind.

 

Danke für Tips.

 

Viele Grüße, Patrick

Link zu diesem Kommentar
Kann ich verhindern, dass ein Administrator der Hauptdomäne auf die Subdomäne linux.microsoft.com zugreifen kann?

 

In meinen Testszenario, kann sich der Admin der Hauptdomäne microsoft.com jederzeit die "Active Directory-Benutzer und -Computer" als mmc-Snapin holen und entsprechend ändern, obwohl die Administrator-Passwörter der beiden Domänen unterschiedlich sind.

 

Von welchem Admin sprichst du? Dem Built-In-Admin?

Oder einem selber angelegten Admin? Wenn selber angelegt, über welche Berechtigungen verfügt der denn?

Link zu diesem Kommentar

Hi,

 

der erste Administrator der Root-Domäne ist standardmäßig auch gleichzeitig Enterprise-Admin. Dies kannst Du über die Gruppenmitgliedschaften gegenprüfen.

 

Eine Alternative wäre beispielsweise in der Root-Domäne einen weiteren administrativen Account anzulegen, der Domänen-Admin Rechte zugewiesen bekommt. Dieser kann dann standardmäßig nicht mehr die Sub-Domänen administrieren.

 

Der erste Administrator des Forests wird dann von Dir durch ein im Safe verwahrtes Kennwort gesichert und nur genutzt, sollten dies notwendig sein.

 

Schau einmal hier hinein: http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/directoryservices/igdrbp_2.mspx

Dort findest Du einige Hinweise zu Forest-Design Fragen.

 

Viele Grüße

olc

Link zu diesem Kommentar

bekommt. Dieser kann dann standardmäßig nicht mehr die Sub-Domänen administrieren.

 

Aber was nutzt das? Er kann sich einfach in die Gruppe der Enterprise Admins hinzufügen.

 

Der erste Administrator des Forests wird dann von Dir durch ein im Safe verwahrtes Kennwort gesichert und nur genutzt, sollten dies notwendig sein.

 

OK, aber was sollte der Built-in mehr können als ein manueller Admin? Soweit ich mich erinnere sind die Gruppen der Schemaadmins und Enterprise Admins sowieso besser leer.

 

Bye

Norbert

Link zu diesem Kommentar

Hi,

 

Aber was nutzt das? Er kann sich einfach in die Gruppe der Enterprise Admins hinzufügen.

 

Da hast Du Recht, das habe ich nicht in meine Überlegungen mit aufgenommen. Vielen Dank für den Hinweis.

 

Grundsätzlich lassen sich Änderungen in den Gruppenmitgliedschaften jedoch loggen, so daß man hier zumindest einen Alarm generieren kann, wenn sich jemand als Mitglied der Enterprise-Admin Gruppe definiert.

 

Weiterhin haben viele größere Unternehmen genau aus diesem Grund als Root-Domäne nur Resourcen-Domänen, in denen ausschließlich die administrativen Accounts liegen.

 

Aber Du hast Recht, sicherlich gibt viele Wege diese zusätzliche Sicherheit zu umgehen.

 

OK, aber was sollte der Built-in mehr können als ein manueller Admin? Soweit ich mich erinnere sind die Gruppen der Schemaadmins und Enterprise Admins sowieso besser leer.

 

Zumindest kann man ihn beispielsweise nicht so einfach Sperren (Stichwort: Account Lockout).

 

Die Sache mit den Mitgliedern der Schema- und Enterprise-Admins wird immer wieder unterschiedlich diskutiert. Ich für meinen Teil habe bisher noch keine (endgültige, eindeutige und schlüssige) Empfehlung dazu finden können - weder von Microsoft, noch von anderen Sicherheitsunternehmen. Ich denke, das ist eine "Glaubensfrage".

 

Viele Grüße

olc

Link zu diesem Kommentar

 

Weiterhin haben viele größere Unternehmen genau aus diesem Grund als Root-Domäne nur Resourcen-Domänen, in denen ausschließlich die administrativen Accounts liegen.

 

Eigentlich ist das auch nur so sinnvoll. Denn eine produktive Root-Domäne wirft das Konzept doch irgendwie über den Haufen. ;)

 

Zumindest kann man ihn beispielsweise nicht so einfach Sperren (Stichwort: Account Lockout).

 

Ich bin mir wie gesagt nicht ganz sicher. Auf jeden Fall kann er so konfiguriert werden, dass er gesperrt werden kann. Das betrifft allerdings nie die Interactive Anmeldung.

 

Bye

Norbert

Link zu diesem Kommentar

Hi Norbert,

 

Eigentlich ist das auch nur so sinnvoll. Denn eine produktive Root-Domäne wirft das Konzept doch irgendwie über den Haufen. ;)

 

Da hast Du Recht. Jedoch leisten sich meist nur größere Unternehmen diesen "Luxus". :wink2:

 

Ich bin mir wie gesagt nicht ganz sicher. Auf jeden Fall kann er so konfiguriert werden, dass er gesperrt werden kann. Das betrifft allerdings nie die Interactive Anmeldung.

 

Off-Topic:

Streift zwar den anderen Thread - aber mir wäre das wie gesagt neu.

 

Wenn Du zu dem "Remote-Zugriff kann ersten Administrator Account sperren"-Thema noch etwas finden würdest, würde mich das sehr interessieren. Ich konnte jedenfalls nichts dazu finden und habe es daher gerade noch einmal getestet: Zumindest standardmäßig wird der Account nicht gesperrt. Wie gesagt gab es unter Windows 2000 dafür ein Programm, welches diese Sperre aufhob. Aber ich habe später nie wieder etwas davon gehört.

 

Viele Grüße

olc

Link zu diesem Kommentar
Da hast Du Recht. Jedoch leisten sich meist nur größere Unternehmen diesen "Luxus". :wink2:

 

Kleinere Unternehmen sollten auch den Luxus einer single domain nutzen. ;)

 

Off-Topic:

Streift zwar den anderen Thread - aber mir wäre das wie gesagt neu.

 

Wenn Du zu dem "Remote-Zugriff kann ersten Administrator Account sperren"-Thema noch etwas finden würdest, würde mich das sehr interessieren. Ich konnte jedenfalls nichts dazu finden und habe es daher gerade noch einmal getestet: Zumindest standardmäßig wird der Account nicht gesperrt. Wie gesagt gab es unter Windows 2000 dafür ein Programm, welches diese Sperre aufhob. Aber ich habe später nie wieder etwas davon gehört.

 

Debunking two myths about the Windows administrator account

 

 

Bye

Norbert

Link zu diesem Kommentar

Hi Norbert,

 

ok - es ist also wie bereits vermutet: Standardmäßig ist der Account auch bei einem Remote-Zugriff nicht zu sperren, sondern dieses Verhalten muß "nachgerüstet" werden. "Passprop.exe" war also der Name des Programmes - an diesen konnte ich mich nicht mehr erinnern.

 

Meiner Meinung nach ist das aber eher nicht zu empfehlen, da man sich damit vollkommen aussperren kann. Wahrscheinlich ist diese Einstellung daher auch nicht Standardeinstellung.

 

Aber ein interessanter Satz zu dem Programm steht hier:

 

Warning: In Windows Server 2003, passprop will allow the built-in administrator account to get locked out from interactive logons as well as remote logons.

 

Viele Grüße

olc

Link zu diesem Kommentar
Hi Norbert,

 

ok - es ist also wie bereits vermutet: Standardmäßig ist der Account auch bei einem Remote-Zugriff nicht zu sperren, sondern dieses Verhalten muß "nachgerüstet" werden.

 

Jupp ich sagte ja auch immer, dass ich mir nicht ganz sicher bin.

 

Meiner Meinung nach ist das aber eher nicht zu empfehlen, da man sich damit vollkommen aussperren kann. Wahrscheinlich ist diese Einstellung daher auch nicht Standardeinstellung.

 

Aber ein interessanter Satz zu dem Programm steht hier:

 

Steht aber auch in dem von mir geposteten Link und dazu steht noch der nachfolgende Satz. ;)

However, keep in mind that the Windows Server 2003 version of this utility will also lock out the default administrator account (both network and interactive) after x number of failed logons. Make sure you have a backup method for unlocking this account

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...