Jump to content

Userkonten auf DCs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

Ich habe gegoogelt, aber leider keine Aussage gefunden.

 

Muss jeder vollwertige DC die kompletten Informationen (vor allem Credentials) aller User- und Maschinenkonten in seiner Domäne besitzen?

Hintergrund, wir haben Domain User in Sites in Europa, Amerika und Asien sitzen. Nicht 100-te, sondern 10.000-nde. Kann man die Verfügbarkeit von Credentials auf normalen DCs einschränken?

Ich habe die Read-OnlyDCs auch betrachtet. Aber die sind, soweit ich verstanden habe, eher für kleine, weniger sicherere Hub-Sites gedacht. RODCs haben wir auch.

Ich bräuchte  eine Zwischenebene zwischen vollwertigem DC und RODC.

 

Die DCs/ RODCs laufen durchgängig auf 2012R2.

 

Merci

carnivore

Edited by carnivore
Link to comment

Moin,

 

ja, die AD-Datenbank ist pro Domäne immer vollständig. Die einzige Möglichkeit, die Replikation von Kennwörtern einzuschränken, sind RODCs. Deren Kernszenario sind zwar "kleine, weniger sichere Sites" (nicht Hub-Sites, das würde keinen Sinn ergeben), aber sie lassen sich auch für andere Zwecke einsetzen.

 

Worin besteht denn die genaue Anforderung?

 

Gruß, Nils

Link to comment

Die Anforderung ist generell Wege zu suchen, die Security stetig zu erhöhen.

Platt gesprochen: Es muss organisatorisch nicht sein, dass DC-Admins in China Passwörter kritischer Konten in Buxtehude auslesen oder bestenfalls auch nicht setzen können. Deswegen suche ich nach einem technischen Weg, dies zu unterbinden.

Edited by carnivore
Link to comment

Moin,

 

okay, das heißt: Zunächst die Anforderungen konkretisieren. "Security stetig erhöhen" ist als Ansatz sinnvoll, beschreibt aber weder Anforderungen noch Maßnahmen. "Muss organisatorisch nicht sein" fällt in dieselbe Kategorie.

 

Wenn dann eine Anforderung darin besteht, Kontendaten nur selektiv in den Regionen abzulegen, kommen grundsätzlich RODCs in Frage - oder eben ein völlig anderes AD-Design, das, wie Norbert schon richtig sagt, mit getrennten Forests arbeiten muss. Um das zu entscheiden, müssen die Anforderungen weiter konkretisiert werden.

 

Gruß, Nils

Link to comment

 

Die Anforderung ist, dass Passwörter von Accounts aus europäischen Sites nicht in Domaindatenbanken asiatischer Domain DCs liegen.

 

Moin

 

Ob die Sache mit den Kennwörtern nicht verstanden wurde?

 

Es liegen nirgendwo Kennwörter, Passwörter.

 

Also ist die Anforderung wohl falsch.

Edited by lefg
Link to comment

Moin,

 

Wozu braucht ein AD-Admin Lokalen Zugriff auf einen DC?

 

ein "AD-Admin" hat den einfach. Die Frage wäre höchstens dann relevant, wenn "AD-Admin" bedeutet, dass einzelne delegierte Rechte ausreichen. Genau das ist aber offenbar ungeklärt.

 

@carnivore: auch hier kann ich Norbert nur zustimmen. Dein Ansinnen ist verständlich, aber für Lösungsansätze noch lange nicht weit genug definiert. Du musst also das tun, was in der IT sehr unbeliebt ist: Auf der organisatorischen Seite die Anforderungen klären. (Vielleicht sagte ich das auch schon.)

 

Nur so zur Einordnung: Ich rede hier nicht von fünf Minuten überlegen und dann einen Halbsatz hinschreiben. Ich rede von Klärung - bei den meisten Kunden, die ich kenne, würde ich dafür eine Reihe von Meetings und dazwischenliegenden Arbeitsphasen erwarten.

 

Gruß, Nils

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...