cj_berlin 1.508 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 vor 17 Minuten schrieb Pipeline: hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Jetzt könnte ich lässig auf mein Buch verweisen
NilsK 3.046 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 Moin, Das wollte ich kürzlich bestellen, aber die Webseite sagte, das könne ich aus meinem Land nicht. Gruß, Nils
NorbertFe 2.283 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen?
cj_berlin 1.508 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 vor 16 Minuten schrieb NorbertFe: Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Ich habe keine Ahnung, aber bei APress glaube ich das eher nicht. 1
daabm 1.429 Geschrieben 23. November 2024 Melden Geschrieben 23. November 2024 vor 22 Stunden schrieb Pipeline: Moin Martin, hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen
MurdocX 1.004 Geschrieben 23. November 2024 Melden Geschrieben 23. November 2024 vor 1 Stunde schrieb daabm: Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Bisher habe ich noch keinen RED-Forest/Admin-Forest. Werde es bald für eine PROD-Umgebung bauen dürfen. Darauf freue ich mich. Wie sind Eure Erfahrungen auf die Zuverlässigkeit? Nutzt ihr ein PAM?
daabm 1.429 Geschrieben 25. November 2024 Melden Geschrieben 25. November 2024 Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden