Rudman 10 Geschrieben 29. Mai 2009 Melden Teilen Geschrieben 29. Mai 2009 Hallo liebe Gemeinde, wir suchen „einfache“ Regelungen mit dem Umgang von Admin Accounts. Zur Vorgeschichte. Wir haben 2 Domänenadmins mit denen sich an den Servern und Workstations angemeldet wird. Alle IT-Mitarbeiter kennen diese beiden Passwörter. Können damit auch alles machen. Das ist natürlich nicht gewünscht. Da nicht alle im AD „rumspielen“ dürfen, aber es könnten. Drei Mitarbeiter, mit personalisiertem Account, gehören der Gruppe der Domänenadministratoren an, einfach um arbeitsfähig zu sein. Da bei denen die ganzen Admintools installiert sind, auch Drittanbietertools. Und zu guter Letzt gibt es die beiden Adminaccounts auch noch auf Workstations als lokal angelegte Administratoren und natürlich den gleichen Passwörtern wie in der Domäne. Ziel: 1. Auf jeder Workstation sollen unterschiedliche Passwörter für die beiden lokalen Admins erstellt werden. Also unterschiedlich von PC zu PC und den beiden Accounts. Der Lokale Administrator Account soll, entweder umbenannt oder deaktiviert werden. Da er ja das erste Opfer von jeglichen Attacken ist. Der 2. Account soll aktiviert und lokaler Admin bleiben. Aber sobald sich einer lokal anmeldet, seine Arbeit verrichtet hat, soll sich das Passwort automatisch umstellen. Das muss natürlich dann irgendwo automatisch Zentral hinterlegt werden. Der nächste, der lokal arbeiten muss/möchte muss es dann erst erfragen. Ziel: 2. Die beiden Domänenadmins sollen auch neue Passwörter bekommen. Diese Accounts sollen eigentlich auch nur im „Notfall“ benutzt werden. Diese Passwörter sollen auch zentral abgelegt werden. Jeder der an einem Server etwas einzustellen hat soll sich personalisiert anmelden. Aber nicht die gleichen Rechte wie die 3 „Gurus“ haben. Zum Beispiel nur etwas installieren können oder Drucker einrichten und freigeben. Von mir aus auch das AD anschauen, aber mehr erst mal nicht. Das sollte ja eigentlich mit den Integrierten Sicherheitsprinzipalen funktionieren. Ziel: 3. Für jeden Dienst der noch mit, natürlich einem der Admin Accounts läuft, soll ein eigener Account geschaffen werden. Passwort soll auch zentral hinterlegt werden. Für unsere Cluster habe ich das von Anfang so gemacht, aber die SQL Dienste der anderen laufen immer unter einem der beiden Accounts. Das muss natürlich auch erst einmal dokumentiert werden. Ziel: 4. Es soll einen zentralen Backup Account geben. Der unter anderem mit Acronis, BackupExec und ArcServe klar kommt. Sollte auch mit Sicherungsoperator funktionieren, auch wenn dieser nicht in den ACL´s steht? Ziel: 5. Die drei „Gurus“ sollten eigentlich auch nicht das Passwort der beiden DomänenadminAccounts ändern dürfen. Gibt’s dafür Tools ( darf auch Kosten verursachen )? Whitepapers, How To´s, Best Practises? Einschlägige Erfahrungen? Vielen Dank für Rat und Tat. Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 29. Mai 2009 Melden Teilen Geschrieben 29. Mai 2009 Hallo, das sind ja jede Menge Anforderungen die Du hast. Aber lieber spät als nie. Bei uns läuft das so ab. Keiner hat Domänenadmin Rechte. Die Personen die Benutzer, Gruppen usw. anlegen und pflegen müssen haben entsprechende Rechte bekommen. Das Domänenadmin Passwort ist unter Verschluss und wird nur im Notfall benutzt oder wenn halt etwas an der Domäne gemacht werden muss. Danach wird das Kennwort per Hand geändert und wieder eingeschlossen. Warum möchtest Du auf jedem PC für jeden Admin Account ein anderes Passwort pflegen? Ober habe ich das bei Ziel 1 falsch verstanden? Ein Adminaccount pro Client PC reicht doch aus. Frank Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 29. Mai 2009 Autor Melden Teilen Geschrieben 29. Mai 2009 Hallo,das sind ja jede Menge Anforderungen die Du hast. Aber lieber spät als nie. Hast vollkommen Recht. Aber die historische Hirarchie muss nun aufgebrochen werden. Zu mal unser alter Chef nicht mehr uns tätig, aber er mit einer Mitarbeiterin liebäugelt, diese auch einen Laptop und VPN Zugang hat. Warum möchtest Du auf jedem PC für jeden Admin Account ein anderes Passwort pflegen? Ober habe ich das bei Ziel 1 falsch verstanden? Ein Adminaccount pro Client PC reicht doch aus. Frank Der "richtige" Administrator, sollte ja auch am besten deaktiviert werden, oder eben umbenannt. Ein anderes lokales Administrator Konto existiert. Das mit den Passwörtern hast du richtig verstanden. Denn hab ich das Passwort von einem, habe ich es auch von den anderen...nicht gerade sehr sicher. Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 29. Mai 2009 Melden Teilen Geschrieben 29. Mai 2009 Denn hab ich das Passwort von einem, habe ich es auch von den anderen...nicht gerade sehr sicher. Da hast Du natürlich Recht aber wie viele Personen administrieren die Client Rechner? Das sind doch bestimmt maximal eine Hand voll Personen vom IT Support die das Kennwort dann kennen. Normale Benutzer kennen in der Regel nicht das Admin Passwort. Frank Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 29. Mai 2009 Autor Melden Teilen Geschrieben 29. Mai 2009 Naja, insgesamt sind wir ähm 12... Im Normalfall wird auch nicht mit lokalem Account gearbeitet. Sondern jeder soll sich mit seinem personalisierten Account anmelden. Von denen die Supportmitarbeiter eben auch nicht gleich lokale Adminrechte erhalten. Zitieren Link zu diesem Kommentar
NilsK 2.790 Geschrieben 30. Mai 2009 Melden Teilen Geschrieben 30. Mai 2009 Moin, deine Ideen lassen sich nicht vollständig umsetzen, bieten aber schon mal einen guten Ansatz. Ein paar Punkte vermisse ich hingegen. Administrative Arbeiten sollten nicht an normale Benutzerkonten gebunden werden. Sprich: Wer administrativ tätig wird, erhält ein separates Konto für solche Arbeiten. Und: Jeder Dienst erhält ein eigenes Dienstkonto, das nur die nötigen Berechtigungen hat. Viele moderne Dienste brauchen z.B. gar keine Adminrechte mehr. Um die derzeitige Dienstkonfiguration hinsichtlich der Konten zu prüfen, siehe: faq-o-matic.net Dienst- und Task-Konten identifizieren Dein Konstrukt mit den lokalen Adminkonten finde ich nicht gut (mal abgesehen davon, dass es auch technisch nicht umsetzbar ist). Besser: Du definierst AD-Gruppen, die lokale Adminrechte haben. Wenn jemand lokal was machen muss, wird sein Adminkonto temporär in diese Gruppe aufgenommen. Für Backup-Zwecke ist schon die Mitgliedschaft in "Sicherungs-Operatoren" zu viel, denn die dürfen nicht nur jegliche Dateien lesen, sondern auch jegliche Dateien überschreiben. Definiere ein normales Benutzerkonto und gib diesem das Recht "Sichern von Ordnern und Dateien" - das darf dann alles lesen. Und: Wer Adminrechte hat, hat Adminrechte. Ein Admin kann Kennwörter aller anderen Konten ändern und sich überall Zugang verschaffen. Ein hinreichend pfiffiger lokaler Admin wird sich meist auch schnell Domänen-Adminrechte verschaffen können (nicht trivial, aber meist möglich). Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.