cj_berlin 1.509 Geschrieben 4. Mai 2022 Melden Geschrieben 4. Mai 2022 (bearbeitet) Moin, ich weiß, dass sich hier einige sehr eingehend mit den SOPHOS Firewall-Produkten beschäftigen. Ich hätte hier einen Fall für Schwarmwissen, da der Hersteller es sich einfach macht. Im Dokument "Best Practices for STAS" steht Zitat Enter Windows AD administrator credentials, as shown below. The account is needed to query Windows Event Viewer on AD DC for Event ID 4768, start/stop "Sophos Transparent Authentication Suite" service, and send Windows WMI query to AD workstation to perform workstation polling It is not necessary to be administrator, but it must be a member of group Domain Admins. Event Viewer-Abfrage kann ich mit "Event Log Readers" abfackeln. Sophos Dienst starten kann ich explizit delegieren. WMI zu Workstations kann ich durch lokale Adminrechte dort oder vielleicht sogar noch dediziertere Berechtigungen ermöglichen. Ich möchte den Service-User aus DA raus haben. Und nun die Frage: Hat das hier schon jemand getan und wäre er/sie bereit, das gewonnene Know-How zu teilen? 1000 Dank im vorab! bearbeitet 4. Mai 2022 von cj_berlin
NilsK 3.046 Geschrieben 4. Mai 2022 Melden Geschrieben 4. Mai 2022 Moin, vor 29 Minuten schrieb cj_berlin: It is not necessary to be administrator, but it must be a member of group Domain Admins. herrlich. So einen Unsinn liest man ja selten. Gruß, Nils 2
cj_berlin 1.509 Geschrieben 11. Mai 2022 Autor Melden Geschrieben 11. Mai 2022 Falls es jemanden Interessiert: Wir haben STAS nun ohne DA ans Laufen bekommen: Logon As a Service auf DCs Builtin\Event Log Readers Full Access auf das Programmverzeichnis von STAS Lokaler Admin auf Workstations (als Abkürzung für Remote WMI) Viel fehlt hier effektiv nicht zum DA, aber das ganze lief im Rahmen eines AD-Audits, und jeder DA, dessen Kennwort nicht abläuft, bringt Strafpunkte 1 1
NorbertFe 2.283 Geschrieben 11. Mai 2022 Melden Geschrieben 11. Mai 2022 Selbst durchprobiert, oder gabs Unterstützung vom Hersteller? ;)
cj_berlin 1.509 Geschrieben 12. Mai 2022 Autor Melden Geschrieben 12. Mai 2022 vor 13 Stunden schrieb NorbertFe: Selbst durchprobiert, oder gabs Unterstützung vom Hersteller? ;) Ich habe einfach das umgesetzt, was der Hersteller an Verwendungszweck des Accounts dokumentiert, und als dann beim Start des Dienstes "Zugriff verweigert" kam, noch die Schreibrechte für das Verzeichnis nachgetragen. 2
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden