carnivore 10 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 (bearbeitet) Hallo, Ich habe gegoogelt, aber leider keine Aussage gefunden. Muss jeder vollwertige DC die kompletten Informationen (vor allem Credentials) aller User- und Maschinenkonten in seiner Domäne besitzen? Hintergrund, wir haben Domain User in Sites in Europa, Amerika und Asien sitzen. Nicht 100-te, sondern 10.000-nde. Kann man die Verfügbarkeit von Credentials auf normalen DCs einschränken? Ich habe die Read-OnlyDCs auch betrachtet. Aber die sind, soweit ich verstanden habe, eher für kleine, weniger sicherere Hub-Sites gedacht. RODCs haben wir auch. Ich bräuchte eine Zwischenebene zwischen vollwertigem DC und RODC. Die DCs/ RODCs laufen durchgängig auf 2012R2. Merci carnivore bearbeitet 15. September 2016 von carnivore Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Moin, ja, die AD-Datenbank ist pro Domäne immer vollständig. Die einzige Möglichkeit, die Replikation von Kennwörtern einzuschränken, sind RODCs. Deren Kernszenario sind zwar "kleine, weniger sichere Sites" (nicht Hub-Sites, das würde keinen Sinn ergeben), aber sie lassen sich auch für andere Zwecke einsetzen. Worin besteht denn die genaue Anforderung? Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 15. September 2016 Autor Melden Teilen Geschrieben 15. September 2016 (bearbeitet) Die Anforderung ist generell Wege zu suchen, die Security stetig zu erhöhen. Platt gesprochen: Es muss organisatorisch nicht sein, dass DC-Admins in China Passwörter kritischer Konten in Buxtehude auslesen oder bestenfalls auch nicht setzen können. Deswegen suche ich nach einem technischen Weg, dies zu unterbinden. bearbeitet 15. September 2016 von carnivore Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Du willst die AD Administration delegieren. Dabei kannst du Admins die Rechte geben, die sie benötigen (z.B. Benutzerkonten aus seinem Bereich zu verwalten). Das hat aber nichts damit zu tun, dass die Credentials (bzw. die Passwort Hashes, die Passwörter kann man nicht auslesen) nicht trotzdem überall gespeichert werden. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Das geht nicht. Offiziell ist der Forest die Sicherheitsgrenze und das bedeutet, wenn du es wirklich verhindern willst/musst, braucht du mehr als einen Forest. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Moin, okay, das heißt: Zunächst die Anforderungen konkretisieren. "Security stetig erhöhen" ist als Ansatz sinnvoll, beschreibt aber weder Anforderungen noch Maßnahmen. "Muss organisatorisch nicht sein" fällt in dieselbe Kategorie. Wenn dann eine Anforderung darin besteht, Kontendaten nur selektiv in den Regionen abzulegen, kommen grundsätzlich RODCs in Frage - oder eben ein völlig anderes AD-Design, das, wie Norbert schon richtig sagt, mit getrennten Forests arbeiten muss. Um das zu entscheiden, müssen die Anforderungen weiter konkretisiert werden. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Rodc verhindern aber u.a. durchaus den Einsatz von Exchange, wenn man nicht richtig designt. Insofern kann ich nils nur zustimmen: Anforderungen definieren. 1 Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 15. September 2016 Autor Melden Teilen Geschrieben 15. September 2016 Die Anforderung ist, dass Passwörter von Accounts aus europäischen Sites nicht in Domaindatenbanken asiatischer Domain DCs liegen. Aber das wird offenbar in unserer Struktur so nicht möglich sein. Danke Euch carnivore Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Nochmal zu #4: Darf es nicht sein, dass die Hashes in anderen Standorten gespeichert werden oder darf es nicht sein das die Passwörter von Admins der anderen Standorten zurückgesetzt werden? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 (bearbeitet) Die Anforderung ist, dass Passwörter von Accounts aus europäischen Sites nicht in Domaindatenbanken asiatischer Domain DCs liegen. Moin Ob die Sache mit den Kennwörtern nicht verstanden wurde? Es liegen nirgendwo Kennwörter, Passwörter. Also ist die Anforderung wohl falsch. bearbeitet 15. September 2016 von lefg Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 15. September 2016 Autor Melden Teilen Geschrieben 15. September 2016 (bearbeitet) Es soll nicht sein dürfen, dass Credentials in anderen Standorten gespeichert werden. Jeder Standort Admin kommt ja an die Hashes, wenn er lokalen Zugriff auf die DC-Datenbank hat. @lefg: Der Wert eines Hashes/ Passworts ist nahezu gleichwertig bearbeitet 15. September 2016 von carnivore Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Eigentlich ist alles gesagt ;) Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Wozu braucht ein AD-Admin Lokalen Zugriff auf einen DC? Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 15. September 2016 Melden Teilen Geschrieben 15. September 2016 Moin, Wozu braucht ein AD-Admin Lokalen Zugriff auf einen DC? ein "AD-Admin" hat den einfach. Die Frage wäre höchstens dann relevant, wenn "AD-Admin" bedeutet, dass einzelne delegierte Rechte ausreichen. Genau das ist aber offenbar ungeklärt. @carnivore: auch hier kann ich Norbert nur zustimmen. Dein Ansinnen ist verständlich, aber für Lösungsansätze noch lange nicht weit genug definiert. Du musst also das tun, was in der IT sehr unbeliebt ist: Auf der organisatorischen Seite die Anforderungen klären. (Vielleicht sagte ich das auch schon.) Nur so zur Einordnung: Ich rede hier nicht von fünf Minuten überlegen und dann einen Halbsatz hinschreiben. Ich rede von Klärung - bei den meisten Kunden, die ich kenne, würde ich dafür eine Reihe von Meetings und dazwischenliegenden Arbeitsphasen erwarten. Gruß, Nils Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 15. September 2016 Autor Melden Teilen Geschrieben 15. September 2016 (bearbeitet) Wahrscheinlich würde es eine interessante Diskussion geben, wenn ich euch spezifischere Details geben dürfte. Nur, das kann ich leider nicht in einem Public Forum. Aber Danke für die bisherigen Antworten! bearbeitet 15. September 2016 von carnivore Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.