Jump to content

Zugriff auf Admin Freigaben von Servern

StefanWe

Von StefanWe
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Hallo,

es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer.

Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$.

 

Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur abmelden vom Client und neuanmelden, was ziemlich nervt.

 

Kennt jemand eine alternative Lösung ?

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben (bearbeitet)

Moin,

 

Nein, das angesprochene Problem lässt sich so nicht lösen. Dafür wird man einen separaten Rechner brauchen, typischerweise einen Admin-Client. Wäre auch deutlich sauberer gelöst.

 

Gruß, Nils

 

bearbeitet von NilsK
daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben
vor 12 Stunden schrieb daabm:

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

 

Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.

StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben
vor einer Stunde schrieb MurdocX:

Ich hab so das letzte Jahr gearbeitet. Schön ist was anderes. Stellt euch schon mal auf Unmut ein. 
 

Wenn man mich nochmal zu dem Konzept fragt, würde ich wohl RemoteApp für Outlook etc. auf dem Admin-Client bevorzugen. 

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

BOfH_666 Veteran

BOfH_666   586

Geschrieben
Geschrieben
vor einer Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Hmmm .... Abwägung zwischen Risiko/Sicherheit und Komfort ....  ich weiß ja nicht, auf welch dubiosen Seiten Du Dich während der Arbeitszeit surfenderweise im Internet rumtreibst, aber nach meiner Erfahrung sind die Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben
vor 1 Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Technisch gesehen nicht, denn die Anwendungssitzungen befindet sich auf dem RDSH. Dies ist übrigens auch als anderes PAW-Szenario (Privileged Access Workstation) bei Microsoft aufgeführt. 

https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations

 

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

wer Bedenken hat, kann ja auch mit separaten Rechnern arbeiten. So abwegig ist das nun auch wieder nicht. Und unbequem - ja, meine Güte, sicher. Das relativiert sich spontan, wenn man sich mal die Umstände ansieht, die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...). Wir reden hier ja nicht von den Normalanwendern, sondern von den Admins.

 

Gruß, Nils

 

  • Like 1
daabm Grand Master

daabm   1.431

Geschrieben
Geschrieben
vor 13 Stunden schrieb NilsK:

die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...).

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

Und eine Arbeits-VM auf einem Admin-Hostrechner, das ist doch nun wirklich keine große Einschränkung...

vor 14 Stunden schrieb BOfH_666:

Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%? Ich kann mir niemanden vorstellen, der das bei einer derart hohen Wahrscheinlichkeit machen würde...

Keiner unserer Jumpserver kann ins Internet. Keiner der darüber ereichbaren Admin-Server kann ins Internet. Kein Domain Controller kann ins Internet. Und das ist auch gut so. (Könnte noch besser sein, aber ok...)

BOfH_666 Veteran

BOfH_666   586

Geschrieben
Geschrieben
vor 3 Stunden schrieb daabm:

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%?

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

Dukel Grand Master

Dukel   468

Geschrieben
Geschrieben
5 hours ago, BOfH_666 said:

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

In manchen IT Bereichen geht es um Leib und Leben.

Und um die Sicherheitsmaßnahmen geht es hier ja gerade.

NorbertFe Grand Master

NorbertFe   2.283

Geschrieben
Geschrieben
vor 4 Minuten schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Hmm, wenn die Betreiber das auch so sehen würden. ;) ich kann da dem folgenden Zitat nur zustimmen.

 

vor 8 Stunden schrieb daabm:

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

 

BOfH_666 Veteran

BOfH_666   586

Geschrieben
Geschrieben
vor 1 Stunde schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Die sind nach meiner Erfahrung aber eher in der Minderheit. Und wenn Stefan in der Frage nicht explizit angibt, dass es um eine entsprechende Umgebung geht, gehe ich davon aus, dass es eine "normale" Büro-Situation ist. Wir arbeiten ja kaum alle beim Geheimdienst oder in einer Chemie-Fabrik oder so.  :hmmm:

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...