Backup-Server in der Gruppe der Domänen-Admins - Risiko?

[micha42 29]

Moin,

ich habe einen DPM für die Datensicherung.

Vor ein paar Tagen ist die Sicherung unseres Dateiservers mit einem mal funktionslos gewesen (keine Kommunikation zum Agenten)

 

Der MS-Support hat jetzt als Lösung angeboten den Backupserver in die Gruppe der Domänen-Administratoren aufzunehmen - es geht wieder.

 

Aber ich stehe dieser Lösung sehr kritisch gegenüber. Der Lösungsansatz "mach ihn zum admin, dann geht alles" war schon immer sch***.

Ich finde keine entsprechende Empfehlung.

Daher würde mich Eure Meinung interessieren:

Darf ein Computerkonto in die Gruppe der Domänenadmins aufgenommen werden?

 

Michael

 

PS sorry für die Tippfehler in der Überschrift, kann ich aber jetzt nicht mehr korrigieren.

bearbeitet 12. Februar 2015 von micha42

[NorbertFe 2.175]

Moin,

ich habe einen DPM für die Datensicherung.

Vor ein paar Tagen ist die Sicherung unseres Dateiservers mit einem mal funktionslos gewesen (keine Kommunikation zum agenten)

 

Der MS-Support hat jetzt als Lösung angeboten den Backupserver in die Gruppe der Domänen-Administratoren aufzunehmen - es geht wieder.

 

Aber ich stehe dieser Lösung sehr kritisch gegenüber. Der Lösungsansatz "mach ihn zum admin, dann geht alles" war schon immer sch***.

Ich finde keine entsprechende Empfehlung.

Daher würde mich Eure Meinung interessieren:

Darf ein Computerkonto in die Gruppe der Domänenadmins aufgenommen werden?

Ich seh das ähnlich wie du. Wenn überhaupt, wäre das für mich ein Workaround, um überhaupt erstmal ein Backup zu haben. Ansonsten natürlich "darf" das getan werden, obs "sicher und zielführend" ist, ist was anderes.

 

PS sorry für die Tippfehler in der Überschrift, kann ich aber jetzt nicht mehr korregieren.

Macht ja nix, aber im Text könntest du korrigieren. ;)

 

Bye

Norbert

[Dunkelmann 96]

Moin,

 

eventuell reicht auch die lokale Administratoren Gruppe auf den problematischen Server(n).

[micha42 29]

Off-Topic:
nur zwei kleine Rechtschreibfehler - hab ich beseitigt

 

Ich habe Bedenken, das MS den Support nun einfach schließt (geht ja) und ich mit einer Sicherheitslücke oder sogar mit einer nicht-supporteten Einstellung zurückbleibe.

Immerhin ging die Datensicherung vorher, ohne dass der DPM-Server in der Gruppe der Admins war, auch die anderen Server liefen weiter. Die eigentliche Ursache muss also woanders zu suchen sein.

Dann würde ich gerne widersprechen und den Support auffordern die eigentliche Ursache zu suchen...

Michael

Moin,

 

eventuell reicht auch die lokale Administratoren Gruppe auf den problematischen Server(n).

 

Ja, das wollte ich auch testen.

[NorbertFe 2.175]

Ich habe Bedenken, das MS den Support nun einfach schließt (geht ja) und ich mit einer Sicherheitslücke oder sogar mit einer nicht-supporteten Einstellung zurückbleibe.

Wieso hast du da Bedenken? Du wirst gefragt, ob du damit einverstanden bist und kannst dann sicher plausibel erklären, dass das keine dauerhafte Lösung für dich darstellt.

 

Bye

Norbert

[micha42 29]

Wieso hast du da Bedenken? Du wirst gefragt, ob du damit einverstanden bist und kannst dann sicher plausibel erklären, dass das keine dauerhafte Lösung für dich darstellt.

 

Bye

Norbert

Ich hatte noch nie die Situation, dass ich dem Schließen widersprechen musste, weil mir die Lösung mißfällt.

Immerhin hat der Supporter gerade angerufen (und nicht gemailt :() und bestätigt, dass die Lösung OK ist. "Auch mein Teamleiter hat mir das bestätigt".

 

Nach meinem dringenden Nachfragen läuft nun noch irgendein Diagnose-Tool auf drei Servern, eben auch auf einem, bei dem das Backup durchgängig lief. Ich bin gespannt und werde berichten.

[NorbertFe 2.175]

Ich würde das wie gesagt maximal als Workaround akzeptieren und fordern, dass eine Lösung ohne diesen gefunden werden muß. Wenn das notwendig sein sollte, hätte es MS sicher auch dokumentiert. Und wenns nicht dokumentiert ist, dann ist es auch nicht notwendig (und schon gar nicht supported). ;)

 

Bye

Norbert

[micha42 29]

Sehe ich auch so. Danke für Deine Einschätzung.

Michael

[NorbertFe 2.175]

Kannst ja mal berichten wie es weiter-/ausgeht. :)

[micha42 29]

Kannst ja mal berichten wie es weiter-/ausgeht. :)

klar, mach ich

[micha42 29]

Ich bekam gerade vom Teamleiter des Supporters einen Anruf, in dem er mir bestätigte, dass es kein Sicherheitsrisiko sei.

"Dann schlage ich vor den Support zu archivieren"

Ich: "nein das geht noch nicht, ich hatte um eine Quelle gebeten, in der ich das nachlesen kann, dass es ich um eine empfohlene Einstellung handelt. Und ich möchte Ihnen nicht zu nahe treten, aber das hätte ich gern schriftlich"

 

kurzes Zögern, und dann "OK, suchen wir raus"

 

Bin gespannt

[NorbertFe 2.175]

Ich bin gespannt. ;)

[XP-Fan 224]

PS sorry für die Tippfehler in der Überschrift, kann ich aber jetzt nicht mehr korrigieren.

 

Da kann dir doch geholfen werden. :)

[NilsK 2.982]

Moin,

 

also, technisch betrachtet ist das natürlich Blödsinn. Man macht einen Computer nicht zum Domänenadmin.

 

Das ist das Problem des Supports: Deren Aufgabe ist nicht Forensik, sondern das Herstellen von Funktionsfähigkeit.

 

Probier doch mal, ob es ausreicht, das Computerkonto zum Sicherungs-Operator auf dem Zielserver zu machen.

 

Gruß, Nils

[micha42 29]

 

Probier doch mal, ob es ausreicht, das Computerkonto zum Sicherungs-Operator auf dem Zielserver zu machen.

 

Gruß, Nils

BINGO, das reicht auch!

Danke für den Tip, ich hatte eine ähnliche Idee, dabei wollte ich aber das Computerkonto des DPM bei den Admins des Dateiservers einfügen. Das hätte mir aber auch nicht gefallen. So gefällt mir das!