Jump to content

Management lokale Passwörter - Domänenuser mit lokalen Adminrechten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich erarbeite mir gerade ein Konzept, dass die lokalen Passwörter nicht mehr organisatorisch verwaltet werden, sodern über das AD. Außerdem wäre es mir recht, wenn ich einen Domänenuser mit lokalen Adminrechten auf jedem Client hätte.

 

  1. Lokale Passwörter
    Eine Lösung die sich gut anhört ist "Local Administrator Password Solution (LAPS)". Hier: https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/ ist es beschrieben.
    Ist LAPS noch immer die Standardlösung, auch mit Windows 10 1709? Es hört sich jedenfalls gut an.
  2. Domänenuser mit lokalen Adminrechten
    Ich kann einfach einem Domänenuser über GPO lokale Adminrechte geben. Das funktioniert, wäre aber so eine Art Superuser. Lieber wäre mir so etwas wie LAPS, aber in der Domäne. Ich will mich mit normalen Nutzerrechten in der Domäne aber Adminrechte lokal anmelden, das aber nicht an jedem Rechner mit dem gleichen Passwort / User. Da ich mich im AD bewege, klappt ein User mit verschiedenen Passwörter nicht. Ich stelle mir einen automatisiert angelegten User mit dem Namen des Clients vor und einem eingenen Passwort. Evtl. denke ich aber hier etwas quer, wenn ja, schiebt mich in die richtige Richtung. Ich will verhindern, dass an Clients für "normale" Wartungsarbeiten eine Anmeldung nötig wird, mit der im Netzwerk nennenswerter Schaden angerichtet werden kann.
bearbeitet von wznutzer
Link zu diesem Kommentar
vor einer Stunde schrieb NorbertFe:

Ja, zumindest wenn es kostenlos sein soll/muss.

Zu 2. Natürlich kann man das. Aber dazu solltest du erstmal klären, was genau du damit erreichen willst.

Es muss nicht unbedingt kostenlos sein. Wenn LAPS aber gut funktioniert würde ich nicht extra Geld ausgeben wollen. Die Sache mit den nicht verschlüsselten Passwörtern ist nicht erste Sahne, aber ich kann es ja mit Zugriffsrechten schützen. Was wäre die kostenpflichtige Alternative. Es sind mehr als 25 Clients.

 

Zu 2. Was will ich erreichen

Ich will mich als Domänenuser an allen Mitglieder (PC) anmelden können und lokale Adminrechte haben. Dazu will ich aber weder den Domänenadmin nehmen noch einen einzigen User. Das ist sozusagen die ausgedachte Lösung. Ich will einen Wartungsaccount für alle Domänenmitglieder. Sollte dieser Wartungsaccount kompromittiert werden soll der Schaden in engen Grenzen gehalten werden. Der Wartungsaccount von PC1 soll nichts auf PC2 anrichten können. Manuell ist das alles möglich, automatisiert wäre mir lieber. 

Link zu diesem Kommentar
vor 6 Minuten schrieb wznutzer:

Ich will einen Wartungsaccount für alle Domänenmitglieder.

 

vor 6 Minuten schrieb wznutzer:

Ich will mich als Domänenuser an allen Mitglieder (PC) anmelden können und lokale Adminrechte haben. Dazu will ich aber weder den Domänenadmin nehmen noch einen einzigen User.

Irgendwie widerspricht sich deine Anforderung. Oder sie ist missverständlich geschrieben. Wozu benötigt man denn für jeden PC einen eigenen (zusätzlich zum lokalen Admin) Admin-Account? Was gibts auf den PCs zu managen, dass so eine Anforderung sinnvoll wird? Ich bin nicht pauschal gegen mehr Sicherheit, aber ich bezweifle, dass das in dem Fall wirklich sinnvoll ist, was du vor hast. Evtl. kannst du noch genauer erklären, wo dein Problem liegt. Alternativ kann man natürlich mit zig Benutzern im AD (oder Gruppen) pro PC hantieren und das dann rollenbasiert zuweisen. Ob das aber sinnvoll zu handhaben ist, müßte man testen. Einen "Automatismus" zum Kennwort setzen für Nutzer im AD, wäre jedenfalls kontraproduktiv in meinen Augen.

 

Bye

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
vor einer Stunde schrieb NorbertFe:

Irgendwie widerspricht sich deine Anforderung. Oder sie ist missverständlich geschrieben.

Ja, du hast recht. Es ist missverständlich geschrieben. Muss heißen: Einen Wartungsaccount je Domänenmitglied. Es gibt keinen tiefergehenden Grund als bereits geschrieben. Ich betrachte die „normalen“ PCs als nicht vertrauenswürdig genug um mich als Domänenadmin oder mit einem sonstigen privilegierten Account anzumelden. Viele, nicht alle, User haben lokale Adminrechte und benötigen diese auch. Deswegen der Vertrauensentzug. Andererseits will ich ohne weitere Authentifizierung auf Ablagen die über das AD gesichert sind zugreifen, Nutzer GPOs prüfen usw..

Link zu diesem Kommentar

Natürlich soll man sich da nicht als DOmänenadmin anmelden. Das ist ja sicherheitstechnisch wohl selbstverständlich, dass man das nicht nur nicht macht, sondern idealerweise aktiv unterbindet. Was soll der Aufwand, wenn sowieso jeder auf irgendwelchen PCs lokaler Admin ist, dann sind die Kisten quasi per Definition nicht mehr in deiner Gewalt. Ich denke dein Konstrukt wird daran nicht viel ändern. Das ist nur scheinbare Sicherheit.

 

Bye

Norbert

Link zu diesem Kommentar
vor 1 Stunde schrieb Nobbyaushb:

Du willst also das Rad neu erfinden - bitte, viel Spaß :-)

Nein, das will ich nicht. Deswegen frage ich hier nach Erfahrungen. Ich habe das bestehende Rad noch nicht gefunden / kenne es nicht. Finde ich eines, drehe ich es nur :D. Ich finde es falsch, mit besonders privilegierten Accounts sich einfach überall anzumelden. Mir sind gegensätzliche Meinungen aber wohl bekannt. Mir ist dabei das Szenario von letztem Jahr im Kopf,  als Ransomware sich z. B. über psexec verbreitete. Ohne ausreichend Rechte wäre das nicht gegangen.

 

Ich werde noch etwas recherchieren, im Moment tendiere ich dazu ein Powershell Script oder C# Programm zu erstellen, dass die Computerkonten ausliest und passende Konten erstellt. Evtl. Ist es möglich das im AD gespeicherte PW von LAPS auszulesen und zu verwenden. Das idealerweise nur wenn ein Computerkonto generiert wird. Klappt das, wäre ich zufrieden.

Link zu diesem Kommentar
vor 54 Minuten schrieb NorbertFe:

Was soll der Aufwand, wenn sowieso jeder auf irgendwelchen PCs lokaler Admin ist, dann sind die Kisten quasi per Definition nicht mehr in deiner Gewalt. Ich denke dein Konstrukt wird daran nicht viel ändern. Das ist nur scheinbare Sicherheit.

Da sind wir nicht einer Meinung. Nicht jeder auf irgendwelchen PC, sondern einer auf seinem PC. Es gibt Software wie Debugger, die läuft nicht auf zugenagelten Kisten. Auch solche PCs müssen gewartet und in ein Konzept eingebunden werden. Wir sind uns einig, das mit nicht besonders privilegierten Accounts zu machen. Wenn sich das Management dieser Accounts vereinfachen lässt, umso besser und warum nicht auf alle PCs einheitlich ausdehnen. Ich schätze deine Meinung, glaube aber auch, dass du mit „scheinbarer Sicherheit“ falsch liegst. Scheinbare Sicherheit wäre in diesem Fall, ich glaube nur dass ein AD-User ohne spezielle Rechte größeren Schaden anrichten kann. Das aber ist nicht der Fall und darauf arbeite ich hin. Es geht hier nicht um die Absicherung der Clients. Im Ernstfall wird ein Client neu aufgesetzt oder ein Image eingespielt.

Link zu diesem Kommentar

Ich weiß schon was du meinst. Das ändert aber trotzdem wenig. Du erzeugst jede Menge administrativen Aufwand für keinen technischen Nutzen. Nenn mir doch mal den Grund, warum ein AD User der lokaler Admin (auf einem PC) ist, jetzt verwaltungstechnisch mehr Nutzen bringt (vor allem wenn man ihn ja nur für gelegentliche Verwaltung benötigt) als ein per LAPS verwalteter lokaler Admin Account. Der "einzig" mir einfallen wollende Grund im Moment ist, dass ein Account im AD von anderen Lokalen Admins nicht verändert werden kann. Da aber der Domänenaccount nur auf diesem PC nutzbar ist, und der PC nicht vertrauenswürdig ist, ... die Kette kannst du dir selbst vervollständigen. :)

 

Ich bleib erstmal bei meiner Meinung.

 

Bye

Norbert

Link zu diesem Kommentar

Da widerspreche ich dir nicht, technisch völlig klar. Da unterscheidet sich unsere Meinung nicht. Der Unterschied ist, du sagst es gibt nichts was man nicht mit einem lokalen Admin per LAPS verwaltet machen kann. Ich würde aber gerne auf Ablagen mit Tools, Files usw. zugreifen können deren Rechte per AD vergeben wurden. Ich würde gerne GPOs testen. Klar, kann ich immer noch beim Zugriff auf Ressourcen separat authentifizieren. Dann muss ich mir aber über diesen Account sorgen machen. Administrativer Aufwand, ja gibt es. Klappt das wie oben geschrieben über ein kleines Script oder Programm, ist der Nutzen höher als der Aufwand. Für mich :thumb1:. Klappt das nicht, erinnere ich mich an dich :-).

Link zu diesem Kommentar

Für GPO Tests braucht man erstens keinen lokalen Admin und zweitens auch nicht für jeden PC einen Account. Ich weiß ja nicht, was du vorhast, aber das sind "vorgeschobene" Argumente. Und von einem nicht vertrauenswürdem PC dann auf vertrauenswürdige Ressourcen zuzugreifen, ist ja auch naja.... ;) Hat jeder PC nur ZUgriff auf einen ganz bestimmten Bereich in deiner Struktur? Ich zweifel das mal an. Aber mach mal. Manches muß man wohl selbst ausprobieren, bis man es entweder glaubt und zumindest glaubhaft widerlegen kann.

 

Viel Erfolg

Norbert

Link zu diesem Kommentar
vor 25 Minuten schrieb NorbertFe:

Ich weiß ja nicht, was du vorhast, aber das sind "vorgeschobene" Argumente. Und von einem nicht vertrauenswürdem PC dann auf vertrauenswürdige Ressourcen zuzugreifen, ist ja auch naja.... ;) Hat jeder PC nur ZUgriff auf einen ganz bestimmten Bereich in deiner Struktur? Ich zweifel das mal an. Aber mach mal. Manches muß man wohl selbst ausprobieren, bis man es entweder glaubt und zumindest glaubhaft widerlegen kann.

Ich glaube nicht, dass wir noch zusammenfinden, obwohl wir gar nicht so weit auseinander liegen. Ich habe genau das vor was geschrieben wurde, nichts vorgeschobenes. Auf Ressoucen wird natürlich nur lesend zugegriffen. Aber auch du siehst Domänenmitglieder nicht per se als vertrauenswürdig an. Warum sonst sollte man sich nicht mit besonders privilegierten User anmelden. Ich schließe aber nicht aus, dass ich am Ende zur Erkenntnis komme du hast Recht. Ich schreibe hier ja um zu lernen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...