Jump to content
phatair

Verwaltung der Admin Accounts in der IT Abteilung

Empfohlene Beiträge

Wichtig ist es, dass man eben von einer gesicherten WS (PAW) aus zu den Servern sich verbindet, sonst hat man hier ein leichteres Einfallstor.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 23 Stunden schrieb RolfW:

Wichtig ist es, dass man eben von einer gesicherten WS (PAW) aus zu den Servern sich verbindet, sonst hat man hier ein leichteres Einfallstor.

Das habe ich so mitgenommen, allerdings wird das noch dauern bis zur Umsetzung. Das ganze muss ich erstmal verstehen und so schnell setzt man das dann ja auch nicht um.

 

Aber noch mal ganz zurück zum Anfang. Irgendwie sehe ich jetzt gerade den Wald vor lauter Bäumen nicht mehr.

Wenn man spezielle Server Admins hat und diese den lokalen Server Administratoren Gruppen zuweist, kann ich die Domänen Administratoren ja aus den lokalen Administratoren Gruppen der jeweiligen Server rausschmeißen (wenn Sie nirgends mehr auf dem Server verwendet werden), richtig? Oder verbietet man nur das anmelden? Stehe gerade auf dem Schlauch...:engel:

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich meine hier im Forum mal vernommen zu haben, dass man das aus Kompatibilitätsgründen nicht machen sollte. In den Technet-Foren wurde auf diesen Thread https://social.technet.microsoft.com/Forums/windowsserver/en-US/01db509a-1ce0-405a-81c3-4f782a6e5d57/remove-domain-admins-for-member-server8217s-local-administrators-group?forum=winserverManagement verwiesen.

 

Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Klar können sich die Domänenadmins immer benötigte Rechte verschaffen. Diesen (wie allen Admins) muss man vertrauen können.

Man kann aber den Default ändern (Dom-Admins aus Admin Gruppe der Server entfernen und / oder das Anmelden verweigern) damit nicht aus versehen oder durch Gewohnheit sich mit einen Dom-Admin auf einem Server oder Client eingeloggt wird.

  • Danke 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 7.3.2019 um 10:25 schrieb MurdocX:

Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt.

Das heißt, ihr habt nur noch eure eigenen DL-Sec-Gruppen in den lokalen Admins und die Domänen-Admins Gruppe komplett entfernt?

Da bei uns nur noch max. 2 Domänen Admin Accounts bestehen werden, werde ich wohl dazu tendieren die Anmeldung zu verweigern.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Minuten schrieb phatair:

Das heißt, ihr habt nur noch eure eigenen DL-Sec-Gruppen in den lokalen Admins und die Domänen-Admins Gruppe komplett entfernt?

Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist.

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 28.2.2019 um 08:02 schrieb magheinz:

Ich dachte man macht AGDLP?

Jetzt alow AGLP oder sogar AGP? 

 

Eine Woche Urlaub und so viele Fragen :-)))

 

Im Prinzip ist es egal, ob Du A-G-DL-P oder A-G-L-P oder A-G-DL-L-P machst. WIchtig ist das grundsätzliche Prinzip dahinter:

Globale Gruppen sind "Rollen". Rollen definieren Aufgaben, für deren Durchführung bestimmte Berechtigungen erforderlich sind.

Lokale Gruppen (Domain local oder Server local) definieren genau diese Berechtigungen.

Und durch geeignete Verschachtelung erhält jede Rolle die für sie erforderlichen Berechtigungen.

 

Am 1.3.2019 um 07:53 schrieb phatair:

Hier wird davon gesprochen, dass der Kerberos-Security-Token mit dem A-G-DL-P Prinzip sehr schnell "voll" wird und das zu Problemen führen kann.
 

 

Mit der zwischenzeitlich eingeführten SID-Compression (zusätzlich zur größeren Default-Ticket-Size) sollte das kein Problem mehr darstellen.

 

Am 1.3.2019 um 13:05 schrieb magheinz:

Im übrigen ist das ein Grund warum man AGDLP macht. Im Forst sind nur die Gruppen der lokalen Domäne im Token. Würde man die Permission über globale Gruppen verwalten wären immer alle im token.

 

Globale Gruppen sind IMMER drin.

 

Am 8.3.2019 um 11:15 schrieb MurdocX:

Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist.

 

Was ist daran unüblich? Wir leeren auf allen Non-DCs die lokalen Admins und füllen die dann bedarfsorientiert auf. Für Dienste, die unter Service-Accounts laufen, hat das keine Auswirkung, da bereits bestehende Anmeldesessions davon nicht beeinflußt werden.

 

  • Danke 2

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Werbepartner:



×