Jump to content

Administratorkonten und delegierte Administration


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wir sind gerade dabei und schaffen die Domänen-Admins ab und ersetzen diese durch delegierte Administration. 

Bedeutet: Aktuell arbeiten 17 Leute in der IT als Dom Admin. Schön einfach und praktisch, man kommt überall dran. Das wollen wir nun nicht mehr.

 

Die Admins administrieren vom Client,  über Fileserver Berechtigungen bis hin zu Servern eigentlich alles. Allerdings nur in ihrem Scope.

 

Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen. Damit dieses "ummelden" nciht notwendig ist.

Eine Admin Station wäre auch eine Idee, aber bedeutet auch doppelten Aufwand.

 

Klar, ist der eine normale Benutzer mit allen Berechtigungen ausgestattet, und wird gekapert, so hat der Angreifer gleich volles Recht auf alles. Hat der Admin aber zwei Benutzer und muss sich ständig ummelden, nervt es ihn. Hat eventuell für den admin Benutzer ein schlechtes Kennwort und ist ebenfalls leicht angreifbar.

 

Hatte auch schon überlegt, alle zentralen Server mit einem admin Benutzer zu verwalten, alle Clients mit dem normalen Benutzer. Aber sobald es dann an RSAT Tools geht, nervt es wieder, diese mittels Ausführen als auszuführen.

 

Daher meine Frage, welchem Konzept verfolgt ihr ? Jetzt könnte die klassische Frage sein, Anforderung definieren. Da würde ich antworten, höchstmaß an Sicherheit bei bestmöglichem Komfort für die Admins.

Wir haben keine großen Industriegeheimnisse und sind auch kein Chemie oder sonstwas Konzern. Also alles recht simpel gehalten bei uns.

Link zu diesem Kommentar
vor einer Stunde schrieb StefanWe:

Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen.

Für mich ist das keine Frage. Und wer sich über diese Tatsache Gedanken macht, sollte nochmal überlegen, warum er denn delegation einführen will. 

Link zu diesem Kommentar

Ich bin über folgenden Artikel von Franky gestolpert. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/

 

Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients.

Für das Tier 1 würde ich entsprechende Admin Konten anlegen. 

 

Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt.

 

Wie geht man mit RSAT Tools um. Würde man die Benutzer für Tier 2, berechtigen, RSAT Tools zu benutzen um damit Aufgaben zu erledigen, welche das Tier 2 betreffen? Also Beispielsweise DHCP, Gruppenrichtlinien oder AD Benutzer und Computer verwalten ?

Link zu diesem Kommentar
35 minutes ago, StefanWe said:

Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt.

Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO.

Link zu diesem Kommentar
vor 1 Minute schrieb Dukel:

Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO.

Hi Dukel,

ich finde nur die GPO zum Erlauben von Benutzern sich anzumelden. Hier steht bei Clients generell Domänen Benutzer drin. Gleiches gilt für RDP.

Ich finde aber keine GPO, die bestimmte Gruppen verweigert.

Link zu diesem Kommentar
vor 3 Stunden schrieb StefanWe:

 

Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients.

Vielleicht war ich nicht deutlich. ;) ein Benutzer ist ein Benutzer und ein Admin ist ein Admin. Man mischt das nicht. Auch nicht Mal so und gerade im Tier Modell nicht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...