Jump to content

Verwaltung Active-Directory / Sprungserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Posted

Guten Morgen,

 

wie sieht eure Umgebung zur Verwaltung vom Active-Directory aus?
Nutzt ihr Sprungserver (Terminalserver?), haben die IT-Benutzer für den Sprungserver auch eigtl. Credentials oder werden die eigtl. User-Accoutns genommen und nur vom Sprungserver gibt es dann die entsprechenden Credentials zur Verwaltung vom AD bzw. einzelner Dienste?

Posted
1 hour ago, lefg said:

Hat aber nichts mit der Problematik der Credentials und einem Jump Server zu tun.

Die Frage ist wo man RSAT nutzt. Auf dem eigenen Rechner, auf einem Sprung Server oder auf was ganz anderem (z.B. ein eigener Admin Rechner).

Posted (edited)

Meine aktuell "sicherste" Umgebung habe ich für einen Kunden wie folgt aufgebaut:

S2D Cluster welches in einer eigenen "Fabric" Domain bzw. Forest beheimatet ist.
Auf dem Cluster laufen virtuelle Maschinen welche ebenfalls in der Fabric Domain beheimatet sind (WSUS, PKI, File, Mgmt, Gateway Server ODER AUCH Jumpserver genannt), diese haben nur den Zweck, Dienste und Ressourcen für den Betrieb der Fabric bereitzustellen.
Die Fabric Domain ist mit Windows Server Baseline Templates gehärtet.

 

Ebenfalls laufen auf dem Cluster Maschinen welche zur eigentlichen "Company" Domain bzw. Forest gehören, hier sind Applications Server, WSUS, PKI, Exchange, usw. beheimatet.
Company Server und Client Netzwerk sind mit VLANs getrennt, sprich jegliche Kommunikation wird granular über die Firewall erlaubt. RDP z.B. ist prinzipiell aus dem Client Netzwerk nicht möglich.
Eine Verbindung um die Fabric (und damit auch die Company) zu administrieren, ist nur über das Remote Desktop Gateway (HTTPS) auf den Management Server möglich.

Die Verbindungen auf den Management Server via Gateway/Jumphost erfolgt über eine Sophos Firewall, diese lässt die Kommunikation nur zu, wenn der Sophos Endpoint auf dem Administrator PC einen grünen Status besitzt, sprich frei von Malware oder PUAs etc. ist.

 

Für verschiedene Zwecke gibt es natürlich verschiedene Credentials, 2-Faktor für den Zugriff auf den Management Server ist aktuell im Gespräch.
Da hängen natürlich noch viel mehr Details dran, hoffe das ich nicht zu unverständlich geschrieben habe.
 

Edited by falkebo
  • Like 2
  • Thanks 1
Posted
vor 4 Stunden schrieb Dukel:

Dies habe ich bisher bei keinem Kunden so gesehen.

Wir sind zwar keiner Deiner Kunden, aber bei uns könntest das sehen :-) Sieht lustig aus - bei "whoami /groups" bin ich zeitgleich in den Domain Admins von 3 Domänen :-)

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...