Jump to content

Zugriff auf Admin Freigaben von Servern


Recommended Posts

Hallo,

es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer.

Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$.

 

Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur abmelden vom Client und neuanmelden, was ziemlich nervt.

 

Kennt jemand eine alternative Lösung ?

Link to post

Moin,

 

Nein, das angesprochene Problem lässt sich so nicht lösen. Dafür wird man einen separaten Rechner brauchen, typischerweise einen Admin-Client. Wäre auch deutlich sauberer gelöst.

 

Gruß, Nils

 

Edited by NilsK
Link to post

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

Link to post
vor 12 Stunden schrieb daabm:

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

 

Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.

Link to post
vor einer Stunde schrieb MurdocX:

Ich hab so das letzte Jahr gearbeitet. Schön ist was anderes. Stellt euch schon mal auf Unmut ein. 
 

Wenn man mich nochmal zu dem Konzept fragt, würde ich wohl RemoteApp für Outlook etc. auf dem Admin-Client bevorzugen. 

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Link to post
vor einer Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Hmmm .... Abwägung zwischen Risiko/Sicherheit und Komfort ....  ich weiß ja nicht, auf welch dubiosen Seiten Du Dich während der Arbeitszeit surfenderweise im Internet rumtreibst, aber nach meiner Erfahrung sind die Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

Link to post
vor 1 Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Technisch gesehen nicht, denn die Anwendungssitzungen befindet sich auf dem RDSH. Dies ist übrigens auch als anderes PAW-Szenario (Privileged Access Workstation) bei Microsoft aufgeführt. 

https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations

 

Link to post

Moin,

 

wer Bedenken hat, kann ja auch mit separaten Rechnern arbeiten. So abwegig ist das nun auch wieder nicht. Und unbequem - ja, meine Güte, sicher. Das relativiert sich spontan, wenn man sich mal die Umstände ansieht, die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...). Wir reden hier ja nicht von den Normalanwendern, sondern von den Admins.

 

Gruß, Nils

 

  • Like 1
Link to post
vor 13 Stunden schrieb NilsK:

die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...).

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

Und eine Arbeits-VM auf einem Admin-Hostrechner, das ist doch nun wirklich keine große Einschränkung...

vor 14 Stunden schrieb BOfH_666:

Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%? Ich kann mir niemanden vorstellen, der das bei einer derart hohen Wahrscheinlichkeit machen würde...

Keiner unserer Jumpserver kann ins Internet. Keiner der darüber ereichbaren Admin-Server kann ins Internet. Kein Domain Controller kann ins Internet. Und das ist auch gut so. (Könnte noch besser sein, aber ok...)

Link to post
vor 3 Stunden schrieb daabm:

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%?

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

Link to post
5 hours ago, BOfH_666 said:

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

In manchen IT Bereichen geht es um Leib und Leben.

Und um die Sicherheitsmaßnahmen geht es hier ja gerade.

Link to post
vor 4 Minuten schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Hmm, wenn die Betreiber das auch so sehen würden. ;) ich kann da dem folgenden Zitat nur zustimmen.

 

vor 8 Stunden schrieb daabm:

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

 

Link to post
vor 1 Stunde schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Die sind nach meiner Erfahrung aber eher in der Minderheit. Und wenn Stefan in der Frage nicht explizit angibt, dass es um eine entsprechende Umgebung geht, gehe ich davon aus, dass es eine "normale" Büro-Situation ist. Wir arbeiten ja kaum alle beim Geheimdienst oder in einer Chemie-Fabrik oder so.  :hmmm:

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...