Marco31 31 Geschrieben 17. Februar 2022 Melden Teilen Geschrieben 17. Februar 2022 Noch mal eine Frage dazu; es gibt ja leider einiges an Software (Monitoring, SW-Verteilung, Backup) die gerne Adminrechte oder sogar Domänen-Admin-Rechte haben möchte. Würde diese nicht das ganze Konstrukt torpedieren? Zitieren Link zu diesem Kommentar
cj_berlin 1.129 Geschrieben 17. Februar 2022 Melden Teilen Geschrieben 17. Februar 2022 vor 10 Minuten schrieb Marco31: Noch mal eine Frage dazu; es gibt ja leider einiges an Software (Monitoring, SW-Verteilung, Backup) die gerne Adminrechte oder sogar Domänen-Admin-Rechte haben möchte. Würde diese nicht das ganze Konstrukt torpedieren? Moin, keines der angeführten Systeme muss Domänen-Adminrechte haben. Viele, leider auch Entwickler, haben sich daran gewöhnt, dass Domain Admins auf jedem Member lokale Admins sind. Dies ist aber nicht in Stein gemeißelt, sondern in die Group Policy und sollte, wenn man Security ernst nimmt, dort auch entfernt werden. Lokale Adminrechte auf irgendwelchen Systemen könnten durchaus benötigt werden, dann gibt man sie halt und schaut, wie die Anwendung sie technisch verwendet (d.h. man schaut zuerst und gibt dann ). Insbesondere ist zu prüfen, wie das System mit den hinterlegten Credentials umgeht. Vieles wird aber auch im SYSTEM-Kontext erledigt - Softwareverteilung (nicht jede, aber beispielsweise SCCM), Monitoring (alles, was mit Agenten arbeitet), Backup - auch da gibt es agentenbasierte Konstrukte, die kein Account mit irgendwelchen Rechten benötigen. Natürlich besteht theoretisch die Gefahr, dass jemand genau das angreift (OK, die Gefahr ist seit Solorigate nicht mehr theoretisch). Aber einen Agenten, der nur lesen kann (Monitoring) dafür missbrauchen, dass er auch was verändert, ist schon höhere Kunst. Zitieren Link zu diesem Kommentar
daabm 1.183 Geschrieben 17. Februar 2022 Melden Teilen Geschrieben 17. Februar 2022 vor 2 Stunden schrieb cj_berlin: keines der angeführten Systeme muss Domänen-Adminrechte haben. As usual: "It depends" Fürs Monitoring gebe ich Dir Recht. Aber Patchverteilung sollte lokale Adminrechte haben (oder als SYSTEM laufen), und auf DCs heißt das "Domain Admin equiv". Oder hab ich was übersehen? Zitieren Link zu diesem Kommentar
cj_berlin 1.129 Geschrieben 17. Februar 2022 Melden Teilen Geschrieben 17. Februar 2022 vor 2 Minuten schrieb daabm: As usual: "It depends" Fürs Monitoring gebe ich Dir Recht. Aber Patchverteilung sollte lokale Adminrechte haben (oder als SYSTEM laufen), und auf DCs heißt das "Domain Admin equiv". Oder hab ich was übersehen? Nö. Die Aussage war lediglich: Keines dieser Systeme muss in Besitz eines Accounts (Name + Passwort) sein, das Mitglied in DA ist. Dass ein Management-System in Tier0 auch ein Tier0-System ist, ist unbestritten. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.