daabm 1.184 Geschrieben 23. November 2020 Melden Teilen Geschrieben 23. November 2020 vor 13 Stunden schrieb michelo82: @daabm Finde ich nicht Kann man sicher diskutieren (ich finde doch, die Screenshots reichen mir) - aber ein neues gutes Buch dazu wird es auf absehbare Zeit nicht mehr geben, da GPOs bei MSFT irgendwie "deprecated" sind, da entwickelt keiner mehr was weiter... Wenn Du durch meinen Blog stöberst, findest auch ein paar Beiträge zum Thema "Vererbungsreihenfolge, winning GPO" mit Beachtung von Loopback. Und zum Grundsatzproblem von "additiv" vor allem mit Bezug auf "Zuweisen von Benutzerrrechten". Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 24. November 2020 Autor Melden Teilen Geschrieben 24. November 2020 Danke für den Tipp. Ich schaue mich mal um! Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 24. November 2020 Melden Teilen Geschrieben 24. November 2020 Moin, vor 13 Stunden schrieb daabm: Kann man sicher diskutieren (ich finde doch, die Screenshots reichen mir) du hast aber gesehen, dass es sich da nicht um ein GPO-Buch handelt, sondern um eins zu Windows-Sicherheit insgesamt? Vor dem Hintergrund finde ich deine Kritik jetzt ausgesprochen hoch gegriffen. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 24. November 2020 Melden Teilen Geschrieben 24. November 2020 vor 11 Stunden schrieb NilsK: du hast aber gesehen, dass es sich da nicht um ein GPO-Buch handelt, sondern um eins zu Windows-Sicherheit insgesamt? Vor dem Hintergrund finde ich deine Kritik jetzt ausgesprochen hoch gegriffen. Ja, hab ich. Aber wer immer nur nach den Trauben auf Nasenhöhe greift... Spaß beiseite, das war nicht böse gemeint. Aber es gibt viele Bücher, und leider auch viele schlechte, das wissen glaub alle hier. Du eh Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 26. November 2020 Autor Melden Teilen Geschrieben 26. November 2020 Weil es ja Ursprünglich um einen Inhalt aus einem Buch ging...was empfehlt ihr in die Richtung GPO's? Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 26. November 2020 Melden Teilen Geschrieben 26. November 2020 Moin, Martin, dein Einsatz! Gruß, Nils 3 Zitieren Link zu diesem Kommentar
daabm 1.184 Geschrieben 26. November 2020 Melden Teilen Geschrieben 26. November 2020 @NilsK Erwischt Spaß beiseite - ich hatte eine Konversation mit Nils, und da kam ein Aspekt zur Sprache, den ich nicht bedacht habe. Ich bin so unterwegs, daß mir Bücher kaum helfen, meine Wissenserweiterung kommt vor allem aus Blogs und ähnlichem... (Selbstversuch, Bewußtseinserweiterung und all so Zeug ). Das hatte ich bei meinem Kommentar oben dämlicherweise ausgeblendet... Ich würde bei Fachbüchern empfehlen darauf zu achten, daß sie aus einem rennomierten Verlag stammen und daß der Autor auch noch irgendwo im Netz zu finden ist und nicht nur auf dem Buchrücken. Ich nehm mal Nils als Beispiel - bietet sich grad an: Er hat momentan 4 Bücher bei Amazon am Start, aber faq-o-matic.net ist auch noch da und hier ist er auch sehr aktiv. Das ist für mich Berufung. Und ein anderer mir bekannter Buchautor hat zwar auch 2 Bücher geschrieben, ist im Netz aber nirgends zu finden. Kein Blog, keine Website, keine Foren. Das ist dann Beruf. 2 Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 30. November 2020 Autor Melden Teilen Geschrieben 30. November 2020 (bearbeitet) Hallo nochmal, Am 20.11.2020 um 11:44 schrieb NorbertFe: RemoteDesktopNutzer? Ich nutze für meinen dedizierten Admin (Tier0) - die Builtin Gruppe Administratoren. So hab ich vollen Zugriff auf den DC. Bin aber kein Domain-Admin. Der Login soll nur für die Verwaltung (lokale Anmeldung / RDP Anmeldung) der DC's genutzt werden bzw. um Administrative Konten/Gruppen zu verwalten. Der Ziugriff mit diesen Konto auf Tier1 / Tier2 ist verboten. Für die tägliche Arbeit gibt es ein weiteres Konto mit dem über RSAT von einem Adminhost bestimmte delegierte OU's verwaltet werden dürfen. Spricht da sicherheitstechnisch etwas dagegen? MfG bearbeitet 30. November 2020 von michelo82 Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 30. November 2020 Melden Teilen Geschrieben 30. November 2020 Gerade eben schrieb michelo82: Bin aber kein Domain-Admin. Naja als Admin auf einem DC ist das aber nur makulatur. ;) vor 1 Minute schrieb michelo82: Spricht da sicherheitstechnisch etwas dagegen? Ja siehe oben. :) Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 30. November 2020 Autor Melden Teilen Geschrieben 30. November 2020 (bearbeitet) Ich habe es mir eben so vorgstellt, dass die Gruppe der Tier0 Administratoren vollen Zugriff auf den DC hat, aber eben entsprechend selten verwendet wird. Es soll damit eigentlich nur ein lokales / RDP anmelden möglich sein um die "Administrative" OU verwalten zu können. Ein Konto muss doch ähnlich des Domain-Admins handlungsfähig sein . Gibt es eine bessere Lösung? bearbeitet 30. November 2020 von michelo82 Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 30. November 2020 Melden Teilen Geschrieben 30. November 2020 Moin, vor 4 Stunden schrieb michelo82: Gibt es eine bessere Lösung? das setzt voraus, dass man das Problem definiert. Was willst du unter welchen Rahmenbedingungen erreichen? Ganz ernsthaft: Wenn du Admin Tiering machen willst, musst du dir ein bisschen mehr Gedanken machen als "Ein Konto muss doch ähnlich des Domain-Admins handlungsfähig sein". Was wäre denn da "ähnlich"? Der Ansatz, ein Tiering zu bauen, ist gut, aber dann beginnen eben die Mühen der Details. Das ist auf der Ebene nix für ein Forum. Wir kommen dann ggf. wieder ins Spiel, wenn es um technische Details der Implementierung geht. Gruß, Nils Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 1. Dezember 2020 Autor Melden Teilen Geschrieben 1. Dezember 2020 Guten Morgen, Danke für das Feedback. die Rahmenbedingungen wären: - die tägliche Arbeit (Passwort zurücksetzen, eine Gruppe anlegen, einen Nutzer anlegen etc.) erfolgt von einem Adminhost über RSAT. Das verwendete Konto dafür hat die entsprechende delegierung(en) und darf sich sonst nirgends im Netzwerk damit anmelden. Vorher wurde sich immer direkt als Domänen-Admin remote am AD angemeldet. Problem: Da es sich manchmal nicht vermeiden lässt auch Remote an den DC's zu arbeiten (gerade jetzt bei Einführung der Tier-Level wird noch nicht alles sofort rundlaufen), benötige ich dafür einen Account. Dieser sollte die Serverwaltung möglich machen. Aktuell nutze ich dafür den Domänen-Admin. Dieser soll aber nicht mehr verwendet werden. Meine Lösung: Ich habe eine neue Gruppe angelegt (für das Tier 0) in welcher ein neues "Admin"-Konto steckt. Diese Gruppe habe ich in dei Builtin-Gruppe Remotedesktopbenutzer geschoben und in der DDCP unter "Anmelden über Terminaldienste zulassen" eingetragen. Meine Frage: Wäre das eine passable Lösung? Ich würde nur gerne wissen, ob es sich lohnt in diese Richtung weiter zu arbeiten. Wenn ja, kann ich diesen Nutzer auch in den anderen Gruppen (Serveroperatoren) berechtigen. (So dass er überhaupt was darf, außer nur über RDP anmelden). Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 1. Dezember 2020 Melden Teilen Geschrieben 1. Dezember 2020 Moin, wir verlassen damit das Thema dieses Threads. Da es mit dem Thema ja sicher noch weitergehen wird - willst du dafür nicht lieber einen neuen Thread aufmachen? Das hilft allen, die nach einem der Themen suchen. Gruß, Nils Zitieren Link zu diesem Kommentar
michelo82 12 Geschrieben 1. Dezember 2020 Autor Melden Teilen Geschrieben 1. Dezember 2020 Hallo Nils, ja du hast Recht! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.