Jump to content
phatair

Verwaltung der Admin Accounts in der IT Abteilung

Recommended Posts

Ne, so machst Du das nicht. Schau mal hier: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Wir setzen das grad im RZ-Betrieb um und es funktioniert prima. Wenn man die OU-Namen passend zu den Namen der administrativen Gruppen wählt und die Server sich immer direkt in ihrer "Anwendungs-OU" befinden, kann man das sogar mit einer einzigen Preference erschlagen :-)

Kurz zusammengefaßt: Finger weg von Restricted Groups, und Finger weg von direktem Zuweisen von Benutzerrechten zu AD-Gruppen. Immer eine lokale Gruppe erstellen und berechtigen und die dann mit den AD-Gruppen nach Bedarf füllen. 2 Ausnahmen: Lokale Admins (klar) und Remote Desktop Users - da funktioniert es warum auch immer nicht, da muß tatsächlich die Standardgruppe Remote Desktop Users verwendet werden.

  • Thanks 1

Share this post


Link to post
Share on other sites

Hi Martin,

 

diesen Beitrag habe ich mir schon mehrmals durchgelesen. Es klingt logisch aber auch sehr komplex. Ich bin am grübeln ob das für unsere Umgebung wirklich notwendig ist.

Wir sind nur 3 Admins und 2 davon sind für die Server zuständig. Das heißt, es gibt nicht so viele komplexe Berechtigungen - da wir beide eigentlich für jeden Server und jede Anwendung zuständig sind.

 

Wir werden zwar in den nächsten Wochen/Monaten noch etwas wachen - aber auch nur um 2 Mitarbeiter (1 Azubi, 1 weiterer Admin). Deswegen möchte ich die Grundlegende Sturktur und Verwaltung der Admin Accounts verbessern, aber die Frage ist wo zieht man die Grenze bei unserer Größe.

 

Ich hätte auch nicht mit Restricted Groups gearbeitet und auch keine direkten Zuweisungen von Usern gemacht - vielleicht habe ich mich da falsch ausgedrückt.

 

Die neuen Admin Accounts (Server Admins und Client Admins) hätte ich per GPO den lokalen Administrator Gruppe hinzugefügt.- > Group Policy Preferences Lokale Benutzer und Gruppen

 

Beispiel:

AD User "Admin-srv-user1" kommt in die Domain Global Group "Server-Admins". Diese wird dann per GPP Lokale Benutzer und Gruppen in die jeweiligen lokalen Administrator Gruppen der Server eingetragen.

 

Das gleiche gilt dann für die Client Admins auf den PCs

 

Nun ging es mir ja noch darum, den Domänen Benutzern das anmelden auf den Servern zu verbieten (wenn das Sinn macht). Dazu hätte ich über eine GPO - Benutzerrechte zuweisen den Domänen Benutzern das lokale anmelden verboten.

Share this post


Link to post
Share on other sites
vor 4 Stunden schrieb phatair:

diesen Beitrag habe ich mir schon mehrmals durchgelesen. Es klingt logisch aber auch sehr komplex. Ich bin am grübeln ob das für unsere Umgebung wirklich notwendig ist.

Wir sind nur 3 Admins und 2 davon sind für die Server zuständig. Das heißt, es gibt nicht so viele komplexe Berechtigungen - da wir beide eigentlich für jeden Server und jede Anwendung zuständig sind.

Solche Konzepte haben mir der Komplexität einer Umgebung erstmal nichts direkt zu tun. Im Gegenteil, gerade auch in kleinen Umgebungen sind Abschottungen genauso wichtig, weil da nicht immer ein Team von Admins vor Ort ist und sofort reagieren kann. Auch die Firewalls sind selten so komplex, alleine schon aus Kostengründen.

Im Grunde ist es eine Massnahme um die Hürden einer allfälligen Infektion mit Schadsoftware möglichst hoch zu halten. Sprich kommt etwas über einen Client rein, soll nicht gleich die ganze Umgebung kompromittiert sein nur weil die Anmeldedaten der Admins im Cache liegen und diese auch für den Server gelten.

Edited by Weingeist
  • Thanks 1

Share this post


Link to post
Share on other sites
vor 32 Minuten schrieb Weingeist:

Solche Konzepte haben mir der Komplexität einer Umgebung erstmal nichts direkt zu tun. Im Gegenteil, gerade auch in kleinen Umgebungen sind Abschottungen genauso wichtig, weil da nicht immer ein Team von Admins vor Ort ist und sofort reagieren kann. Auch die Firewalls sind selten so komplex, alleine schon aus Kostengründen.

Im Grunde ist es eine Massnahme um die Hürden einer allfälligen Infektion mit Schadsoftware möglichst hoch zu halten. Sprich kommt etwas über einen Client rein, soll nicht gleich die ganze Umgebung kompromittiert sein nur weil die Anmeldedaten der Admins im Cache liegen und diese auch für den Server gelten.

Da gebe ich dir ja auch vollkommen Recht und ich habe ja auch nichts gegenteiliges behauptet. Deswegen bauen wir die Verwaltung der Admin Accounts auch um. Wir wollen getrennte Admin Accounts und best möglichst auch Jump Server.

 

Die Aussage bezog sich auf den genannten Link und hier geht es vor allem um die Vergabe der Admin Accounts bzw. die Zuweisung der Gruppen auf die Server mittels GPO. Diese Lösung scheint mir für unsere Umgebung zu komplex - da ich hier die paar Admin Gruppen auch manuell eintragen oder eben per GPP zuweisen kann.

 

Mir geht es jetzt vor allem darum, ob es sinnig ist die Domänen Benutzer aus den lokalen Anmeldungen für Server zu entfernen oder nicht.

 

Share this post


Link to post
Share on other sites

.Wenn die domain User sich nicht auf den Servern einloggen sollen, dann würde ich ihnen auch technisch dieses Recht entziehen. 

Ich stehe da auf dem Standpunkt, dass Regeln die man technisch nicht durchsetzen kann sinnlos sind. 

 

Ansonsten: niemals manuel eintragen, immer per GPO/GPP. 

Ich würde mich da streng an AGDLP halten, also eine Domainlokale Serveradmin-Gruppe pro Server. Diese dann per GPP den lokalen Admins hinzufügen. Dann eine globale Gruppe Serveradmins wenn jeder admin jeden Server administrieren soll, ansonsten halt mehrere. Dann diese bei den jeweiligen domain lokalen zum Mitglied machen. 

 

Was sind denn für dich hier die jump-server? 

Wir hier haben z. B. Einen Terminalserver auf dem alle admin tools etc installiert sind. Von dem aus kommt man in jedes VLAN. 

  • Thanks 1

Share this post


Link to post
Share on other sites
19 minutes ago, phatair said:

Mir geht es jetzt vor allem darum, ob es sinnig ist die Domänen Benutzer aus den lokalen Anmeldungen für Server zu entfernen oder nicht.

Meines Wissens ist der Default, dass sich nur Administratoren auf Servern einloggen dürfen. Wenn das bei dir anders ist, ist das selbst gemacht und sollte weg.

 

Quote

 

Was sind denn für dich hier die jump-server? 

Wir hier haben z. B. Einen Terminalserver auf dem alle admin tools etc installiert sind. Von dem aus kommt man in jedes VLAN. 

 

Wenn man das Zonenkonzept durchzieht hat man für jede Zone einen Terminalserver (iX Artikel lesen, den ich gepostet habe. Dort sollte etwas wegen Credential Guard stehen, was auf den Jump Servern aktiviert sein sollte!). D.h. ein Client Jump Server, auf den sich Client Admins einloggen dürfen und Zugriff auf die Clients haben, einen Server Jump Server, auf den sich Server Admin User einloggen dürfen und Zugriff auf Server besteht und einen AD Jump Server.

 

  • Thanks 1

Share this post


Link to post
Share on other sites
vor 12 Minuten schrieb magheinz:

.Wenn die domain User sich nicht auf den Servern einloggen sollen, dann würde ich ihnen auch technisch dieses Recht entziehen. 

Ich stehe da auf dem Standpunkt, dass Regeln die man technisch nicht durchsetzen kann sinnlos sind. 

 

Ansonsten: niemals manuel eintragen, immer per GPO/GPP. 

Ich würde mich da streng an AGDLP halten, also eine Domainlokale Serveradmin-Gruppe pro Server. Diese dann per GPP den lokalen Admins hinzufügen. Dann eine globale Gruppe Serveradmins wenn jeder admin jeden Server administrieren soll, ansonsten halt mehrere. Dann diese bei den jeweiligen domain lokalen zum Mitglied machen. 

 

Was sind denn für dich hier die jump-server? 

Wir hier haben z. B. Einen Terminalserver auf dem alle admin tools etc installiert sind. Von dem aus kommt man in jedes VLAN. 

Habt Ihr da bestimmte Konfigurationen vorgenommen? (BitLocker usw.)?

 

Nutzt jemand Uni Gruppen?

vor 1 Minute schrieb Dukel:

Meines Wissens ist der Default, dass sich nur Administratoren auf Servern einloggen dürfen. Wenn das bei dir anders ist, ist das selbst gemacht und sollte weg.

 

Wenn man das Zonenkonzept durchzieht hat man für jede Zone einen Terminalserver (iX Artikel lesen, den ich gepostet habe. Dort sollte etwas wegen Credential Guard stehen, was auf den Jump Servern aktiviert sein sollte!). D.h. ein Client Jump Server, auf den sich Client Admins einloggen dürfen und Zugriff auf die Clients haben, einen Server Jump Server, auf den sich Server Admin User einloggen dürfen und Zugriff auf Server besteht und einen AD Jump Server.

 

Lohnt sich also die iX zu kaufen.. :)

Share this post


Link to post
Share on other sites
vor 6 Minuten schrieb Dukel:

Meines Wissens ist der Default, dass sich nur Administratoren auf Servern einloggen dürfen. Wenn das bei dir anders ist, ist das selbst gemacht und sollte weg.

 

Auf unseren 2012R2 Servern sind in der lokalen "Benutzer Gruppe" auch die Domänen-Benutzer enthalten.

In der Richtlinie -> Zuweisen von Benutzerrechten -> Lokal anmelden zulassen steht folgendes:

5c77d19fa06ad_Lokalanmeldenzulassen.png.1c9518a5188c1af21dc88645cbe9e1f1.png

 

Heißt für mich, dass sich auf den Servern (Ausnahme Domain Controller) die Domänen-Benutzer anmelden können.

Soweit ich weiß, werden die Domänen-Benutzer beim Domain Join automatisch in die lokalen Benutzer aufgenommen. Somit müsste man diese entweder aus der lokalen Gruppe rausschmeißen oder eben über die Richtlinie die Anmeldung verweigern. Ich würde hier die Richtlinie bevorzugen, da diese global auf alle Server wirkt und man das entfernen der Domänen-Benutzer aus der lokalen Benutzer Gruppe nicht vergessen kann.

 

Oder ich habe hier irgendwas total falsch verstanden...

 

vor 23 Minuten schrieb magheinz:

Ansonsten: niemals manuel eintragen, immer per GPO/GPP. 

Ich würde mich da streng an AGDLP halten, also eine Domainlokale Serveradmin-Gruppe pro Server. Diese dann per GPP den lokalen Admins hinzufügen. Dann eine globale Gruppe Serveradmins wenn jeder admin jeden Server administrieren soll, ansonsten halt mehrere. Dann diese bei den jeweiligen domain lokalen zum Mitglied machen. 

Genau so möchte ich das umsetzen. AGDLP setzen wir bei uns sowieso gerade für File Server Berechtigungen um und ich finde das Prinzip einfach genial. 

 

vor 25 Minuten schrieb magheinz:

Was sind denn für dich hier die jump-server? 

Wir hier haben z. B. Einen Terminalserver auf dem alle admin tools etc installiert sind. Von dem aus kommt man in jedes VLAN. 

So in der Richtung habe ich mir das auch vorgestellt. Ich habe mir die Artikel von Dukel erstmal nur grob durchgelesen. Ich möchte einfach zentrale "Admin Arbeitsplätze" haben und nicht mehr über die normalen Arbeitsplätze die administrativen Tools bedienen.  Im Moment hängen bei uns Server und Clients auch noch im gleichen VLAN - wir haben hier also noch so einiges zu tun die alten gewachsenen Strukturen auf Vordermann zu bringen. Die Thematik steht aber noch etwas weiter hinten an. Erstmal die einfachen Sachen gerade ziehen.

Share this post


Link to post
Share on other sites
3 minutes ago, phatair said:

Auf unseren 2012R2 Servern sind in der lokalen "Benutzer Gruppe" auch die Domänen-Benutzer enthalten.

In der Richtlinie -> Zuweisen von Benutzerrechten -> Lokal anmelden zulassen steht folgendes:

5c77d19fa06ad_Lokalanmeldenzulassen.png.1c9518a5188c1af21dc88645cbe9e1f1.png

 

Heißt für mich, dass sich auf den Servern (Ausnahme Domain Controller) die Domänen-Benutzer anmelden können.

Soweit ich weiß, werden die Domänen-Benutzer beim Domain Join automatisch in die lokalen Benutzer aufgenommen. Somit müsste man diese entweder aus der lokalen Gruppe rausschmeißen oder eben über die Richtlinie die Anmeldung verweigern. Ich würde hier die Richtlinie bevorzugen, da diese global auf alle Server wirkt und man das entfernen der Domänen-Benutzer aus der lokalen Benutzer Gruppe nicht vergessen kann.

Habe eben nachgeschaut. Das ist korrekt. Durch die Users Gruppe dürfen sich Domain User an Servern anmelden. Hier geht es aber um das Lokale anmelden per Bildschirm/Tastatur bzw. VmWare /Hyper-V Konsole. Auf beides sollte kein User Zugriff haben. Außerdem hat der Benutzer auch nicht mehr Rechte auf einem Server oder in einer Applikation, nur weil er sich lokal einloggen darf.

Du kannst es entfernen, sollte aber nicht so kritisch sein.

Wichtig! Nicht nur das Lokal anmelden, sondern auch per RDP, sollte beidem ganzen Thema betrachtet werden.

Share this post


Link to post
Share on other sites
vor 14 Minuten schrieb Dukel:

Habe eben nachgeschaut. Das ist korrekt. Durch die Users Gruppe dürfen sich Domain User an Servern anmelden. Hier geht es aber um das Lokale anmelden per Bildschirm/Tastatur bzw. VmWare /Hyper-V Konsole. Auf beides sollte kein User Zugriff haben. Außerdem hat der Benutzer auch nicht mehr Rechte auf einem Server oder in einer Applikation, nur weil er sich lokal einloggen darf.

Du kannst es entfernen, sollte aber nicht so kritisch sein

Danke fürs gegenprüfen.  Dann passt das ja soweit.

Genau das hatte ich auch schon geschrieben, das anmelden gilt ja nur für Lokal (Tastatur/Vmware) und hier hat kein normaler User Zugriff bzw. Möglichkeiten das zu tun.

Ich werde das mit dem verbieten der Domänen Benutzer noch mal überlegen. Gibt erstmal wichtigere Punkte.

vor 17 Minuten schrieb Dukel:

Wichtig! Nicht nur das Lokal anmelden, sondern auch per RDP, sollte beidem ganzen Thema betrachtet werden.

RDP ist natürlich für normale User nicht möglich. In Zukunft wird auch hier per GPP eine AD Gruppe für die RDP User zur lokale Gruppe Remotedesktopbenutzer zugewiesen.

 

Ich denke ich habe jetzt einen ganz guten Plan für die Struktur. Vielen Dank noch mal für die ganzen Ideen, Gedanken und Tips!

Share this post


Link to post
Share on other sites
2 minutes ago, Nobbyaushb said:

Keiner unserer Server ist per RDP erreichbar... - außer natürlich die TS

Wie administriert ihr diese dann?

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb Nobbyaushb:

Keiner unserer Server ist per RDP erreichbar... - außer natürlich die TS

Administriert ihr dann nur über VMware Console?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...