Garant 3 Geschrieben 28. September 2020 Melden Teilen Geschrieben 28. September 2020 Hallo, wir wollen für vers. Systeme separate Admin-Konten einrichten. Dazu habe ich drei AD-Gruppen konfiguriert (Client_Admins, Server_Admins, Domain_Admins). In diese Gruppen kommen jeweils einzelne Benutzerkonten. Über Gruppenrichtlinien habe ich konfiguriert, dass für die OU der Clients die Anmeldung für die Gruppen Client_Admins und Domain_Admins verweigert wird. Das funktioniert auch soweit. Nun würde ich im nächsten Schritt die Aktivierung für (Applikations-)Server konfigurieren. Ich würde dazu eine ähnliche GPO bauen, die dann auf der OU der Server (nicht Domain-Controller) liegt, die die Domain_Admins aussperrt. Dies sollte doch reichen, dass sich am Server nur noch die Benutzer innerhalb der Gruppe Server_Admins anmelden können? Oder habe ich einen Denkfehler? Die Gruppe Domain_Admins würde ich zu der Gruppe "Domänen-Admins" hinzufügen, so kann sich an einem AD-Controller am Ende nur noch der Administrator und Benutzer der Gruppe anmelden. Und irgendwann würde ich den Administrator ein sehr starkes KW vergeben. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 28. September 2020 Melden Teilen Geschrieben 28. September 2020 Ja, Du hast einen Denkfehler. Domain-Admins kannst Du nicht beschränken. Was meinst Du, kann ein Domain-Admin mit Deinen Gruppenrichtlinien machen? Ein Domän-Admin kann im AD auch immer die Security zurücksetzen bzw. die Eigentümerschaft übernehmen. Das funktioniert alles nur, wenn sämtliche Administrative Tätigkeiten auf Konten mit entsprechend beschränkten Rechten verteilt werden. Die Konten der Domain-Admins liegen dann irgendwo im Schrank. Ob man das komplett durchziehen, kann? K.A. Generell ist es aber eine gute Idee, Server und Clients nicht vom Konto der Domain-Admins verwalten zu lassen. Das funktioniert aber nur, wenn die "Domain-Admins" mitarbeiten. Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 29. September 2020 Autor Melden Teilen Geschrieben 29. September 2020 vor 17 Stunden schrieb zahni: Ja, Du hast einen Denkfehler. Domain-Admins kannst Du nicht beschränken. Was meinst Du, kann ein Domain-Admin mit Deinen Gruppenrichtlinien machen? Ein Domän-Admin kann im AD auch immer die Security zurücksetzen bzw. die Eigentümerschaft übernehmen. Das funktioniert alles nur, wenn sämtliche Administrative Tätigkeiten auf Konten mit entsprechend beschränkten Rechten verteilt werden. Die Konten der Domain-Admins liegen dann irgendwo im Schrank. Ob man das komplett durchziehen, kann? K.A. Generell ist es aber eine gute Idee, Server und Clients nicht vom Konto der Domain-Admins verwalten zu lassen. Das funktioniert aber nur, wenn die "Domain-Admins" mitarbeiten. Guten Morgen zahni, da hast du natürlich vollkommen Recht mit. Aber mit den o.g. Konfigurationen könnte ein Nutzer mit Benutzer für Server_Admin und Client_Admin aber soweit keinen Schabernack treiben? Der Schnittpunkt kommt doch erst, wenn jeweiliger Benutzer auch ein Benutzer in der Domain_Admin-Gruppe erhält? Mir ging es oben auch eher um die technische Umsetzung, ob es da irgendwo zu einem Problem kommen kann. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 29. September 2020 Melden Teilen Geschrieben 29. September 2020 Moin, du hat dich auf den richtigen Weg gemacht, aber du stellst dir das zu einfach vor. Für "keinen Schabernack treiben" wirst du noch eine Menge mehr Aufwand investieren müssen. Du findest hier im Board und bei Microsoft eine Menge Material dazu. Stichworte sind ESAE, Privileged Access, Administrative Tiering. Nimm dir Zeit, Kollegen und ein Labor. Gruß, Nils Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 29. September 2020 Autor Melden Teilen Geschrieben 29. September 2020 vor 6 Minuten schrieb NilsK: Du findest hier im Board und bei Microsoft eine Menge Material dazu. Stichworte sind ESAE, Privileged Access, Administrative Tiering. Nimm dir Zeit, Kollegen und ein Labor. Das o.g. Szenario stammt ja ursprünglich von dem Blog Frankysweb, der dort die Konfiguration des Admin Tiering beschrieben hat. Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 29. September 2020 Melden Teilen Geschrieben 29. September 2020 Moin, ja, aber das ist nur ein Einstieg und ein Überblick. So, als wenn dir jemand in einem Kurzvideo zeigt, wie man Auto fährt. Die Fahrschule musst du dann trotzdem noch machen. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 30. September 2020 Melden Teilen Geschrieben 30. September 2020 Ich werf mal meinen Senf dazu: Deine Ideen sind richtig, der Weg ist auch richtig. Und wie schon gesagt wurde: Einen Domain Admin kannst Du NICHT wirksam einschränken, von dem Gedanken mußt Du Dich verabschieden. Oder allgemeiner: Wer auch immer Admin des aktuellen Scope ist, kann in diesem Scope nicht wirksam eingeschränkt werden. Wir haben das (in einem größeren Umfeld) auch so umgesetzt: Jeder Service hat seine Service-Gruppen, die sind dann User oder Admin für die Server, die dazu gehören. Domain Admins gehören nicht dazu, können sich nicht mal anmelden. Andersrum natürlich auch nicht. Geht mit ein wenig GPO-Voodoo relativ einfach https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Und lass Dich von den Kommentaren von Nils nicht entmutigen - Du bist jetzt schon weiter als 95% aller Admins. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.