phatair 39 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 Guten Morgen, ich möchte bei uns in der Firma die Verwaltung der Admin Accounts überarbeiten. Im Moment arbeitet die IT Abteilung mit 2 Accounts ( einen normalen Benutzer Account für die tägliche Arbeit und einen Admin Account der nur genutzt wird, wenn erhöhte Berechtigungen verwendet werden). Beides sind AD Accounts. Wir haben uns bei der Verwaltung der Admin Accounts bei den PCs an dem Beitrag vom Mark orientiert (https://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/) Auf allen PCs werden per GPO die Mitglieder aus der lokalen Administratoren Gruppe geschmissen und eine "Workstation-Admin" Gruppe hinzugefügt. In dieser sind dann die Admin Accounts der IT Abteilung. Somit können wir mit unseren Admin Accounts alles an den PCs machen, benötigen keinen Domänen Admin und es ist sichergestellt das auch sonst kein anderer Admin vorhanden ist. Auf den Servern sieht es im Moment noch anders aus. Hier arbeiten wir immer mit dem Domänen Admin Account. Das würde ich aber gerne ändern, da auch hier keine Notwendigkeit besteht. Nun könnte ich das genau so durchführen. Wir fügen auf den Servern eine weitere Gruppe (z.B. Server-Admins) der Administratoren Gruppe hinzu. Alle darin enthaltenen Admins können auf den Servern arbeiten. Bisher war es oft so, dass bestimmte Programme offen waren und jeder Admin diese gleich nutzen konnte. Das würde dann natürlich wegfallen, da jeder mit seinem eigenen Account arbeiten würde. Die andere Lösung wäre, man erstellt z.B. einen Server Admin Account und dieser wird auf allen Servern in die Administratoren Gruppe aufgenommen und man arbeitet mit diesem. Die lokalen Administratoren Accounts möchte ich über Microsoft LAPS verwalten. Das Passwort des Domänen Admin Accounts wird dann nach der Änderung geändert und nur noch für notwendige Tätigkeiten genutzt (von ausgewählten IT Kollegen). Wie macht ihr das den mit den Servern und den Admin Accounts? - persönliche Admin Accounts? - einheitlicher Admin Account? - lokalen Admin Account? - andere Lösung? Vielen Dank schon mal für eure Gedanken. Gruß Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 (bearbeitet) Hi, schau dir das (und den Link dort) mal an: https://www.mcseboard.de/topic/214871-admin-für-software-installation-client-pcs/?do=findComment&comment=1371787 In die entsprechenden Gruppen packst du dann die personalisiertern Admin (oder Sammel) Accounts. Gruß Jan P.S.: LAPS kann man machen, muss man aber nicht. LAPS speichert die Kennwörter halt im Klartext im AD. Ggfs. ist AdmPwd.E (https://www.admpwd.com/) eine Alternative. bearbeitet 21. Februar 2019 von testperson 2 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 Guten Morgen, spannendes Thema und ich finde es toll, dass man sich Gedanken darüber macht. Ihr habt nur ein AD und eine Firma? Ich würde für jeden Admin ein persönliches Konto erstellen und für die Workstation einen generellen Admin, der lokal Admin ist, aber in der Domäne nur Benutzer. Wenn Du dann noch möchtest, könntest Du für die DomAdmins noch einzelne persönliche Konten erstellen. so mal das grobe von unterwegs... Grüße 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 Moin, keine Sammel-Accounts für die Administration. Niemals. Auch keine Sammel-Accounts für Dienste. Alles, was hohe Berechtigungen braucht, wird mit personalisierten bzw. dedizierten Accounts gemacht. Diese Accounts sind nur für die administrative Arbeit bzw. zur Anmeldung von Diensten, für nichts anderes. Jeder Admin hat separat einen normalen User-Account für die alltägliche nicht-administrative Arbeit. Domänen-Admins nur zum Verwalten der Domäne, also nur in Ausnahmefällen. Auch die normale User-Administration oder das Aufnehmen von Rechnern ins AD braucht keine Dom-Admin-Rechte. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. Februar 2019 Autor Melden Teilen Geschrieben 21. Februar 2019 vor 22 Minuten schrieb testperson: schau dir das (und den Link dort) mal an: https://www.mcseboard.de/topic/214871-admin-für-software-installation-client-pcs/?do=findComment&comment=1371787 In die entsprechenden Gruppen packst du dann die personalisiertern Admin (oder Sammel) Accounts. Das klingt sehr interessant - werde ich mir mal genauer anschauen. Danke für den Tip! vor 23 Minuten schrieb testperson: P.S.: LAPS kann man machen, muss man aber nicht. LAPS speichert die Kennwörter halt im Klartext im AD. Ggfs. ist AdmPwd.E (https://www.admpwd.com/) eine Alternative. Hm...heißt das, jeder der lesenden Zugriff auf das AD hat kann die Passwörter auslesen? AdmPwd.E klingt auch interessant und ist preislich auch fair. Werde ich mir auch mal anschauen. Das Programm scheint sich in die AD einzuklinken - ändert das auch was am AD Schema oder kann das Probleme beim AD Upgrade machen? vor 21 Minuten schrieb RolfW: Ihr habt nur ein AD und eine Firma? Ja, wir haben nur eine AD/Domäne. vor 25 Minuten schrieb RolfW: Ich würde für jeden Admin ein persönliches Konto erstellen und für die Workstation einen generellen Admin, der lokal Admin ist, aber in der Domäne nur Benutzer. Wenn Du dann noch möchtest, könntest Du für die DomAdmins noch einzelne persönliche Konten erstellen. So ähnlich haben wir es eben für die PCs gemacht. Jeder Admin hat einen normalen Account und einen Account der auf den PCs in der lokalen Admin Gruppe ist. Einen generellen Account haben wir nicht, damit es besser nachvollziehbar ist, wer was gemacht hat. Die Frage ist, ob dann für ausgewählte Kollegen ein persönlicher Domänen Admin Account erstellt wird oder wir hier den Standard Domänen Admin verwenden. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 Machen die Administratoren alles (Clients, Server und AD)? Dann gibt es vier Accounts für jeden Admin (mit Unterschiedlichen Passwörtern!). Einen normalen User, einen AD Admin, einen Server Admin und einen Client Admin. Was für Programme waren denn auf den Servern offen? Die Verwaltungstools der Dienste? 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. Februar 2019 Autor Melden Teilen Geschrieben 21. Februar 2019 vor 4 Minuten schrieb NilsK: keine Sammel-Accounts für die Administration. Niemals. Auch keine Sammel-Accounts für Dienste. Alles, was hohe Berechtigungen braucht, wird mit personalisierten bzw. dedizierten Accounts gemacht. Diese Accounts sind nur für die administrative Arbeit bzw. zur Anmeldung von Diensten, für nichts anderes. Jeder Admin hat separat einen normalen User-Account für die alltägliche nicht-administrative Arbeit. So machen wir das auch bei den Clients, nur muss das jetzt noch auf die Server ausgeweitet werden. Dienste sind auch alle mit separaten Accounts versehen (beginnen z.B. immer mit svc-<name des dienstes> vor 4 Minuten schrieb NilsK: Domänen-Admins nur zum Verwalten der Domäne, also nur in Ausnahmefällen. Auch die normale User-Administration oder das Aufnehmen von Rechnern ins AD braucht keine Dom-Admin-Rechte. Wir haben die personalisierten Admin Accounts berechtigt bestimmte Dinge in den ausgewählten OUs zu machen (z.B. Objekte zu löschen oder PCs aufzunehmen). Das müsste hoffentlich passen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 vor 4 Minuten schrieb phatair: vor 31 Minuten schrieb testperson: P.S.: LAPS kann man machen, muss man aber nicht. LAPS speichert die Kennwörter halt im Klartext im AD. Ggfs. ist AdmPwd.E (https://www.admpwd.com/) eine Alternative. Hm...heißt das, jeder der lesenden Zugriff auf das AD hat kann die Passwörter auslesen? AdmPwd.E klingt auch interessant und ist preislich auch fair. Werde ich mir auch mal anschauen. Das Programm scheint sich in die AD einzuklinken - ändert das auch was am AD Schema oder kann das Probleme beim AD Upgrade machen? Nein, es können nur die User das PW lesen, die auch die Rechte dazu haben. https://www.msxfaq.de/windows/endpointsecurity/laps.htm https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/ 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. Februar 2019 Autor Melden Teilen Geschrieben 21. Februar 2019 vor 2 Minuten schrieb Dukel: Machen die Administratoren alles (Clients, Server und AD)? Dann gibt es vier Accounts für jeden Admin (mit Unterschiedlichen Passwörtern!). Einen normalen User, einen AD Admin, einen Server Admin und einen Client Admin. Ja, wir sind ein kleines IT Team (3 Leute - 50 Server - 200 AD User) Wir haben schon eine grobe Aufteilung, aber Clients macht bei uns jeder. Auf einige Server müssen wir alle mal schauen, andere wiederum nur ausgewählte Kollegen. Die AD macht eigentlich nur einer. Das dachte ich mir dann schon so, klingt am vernünftigsten aber natürlich auch am "Aufwendigsten". Aber Sicherheit geht immer etwas zu lasten von Komfort und hier muss dann jeder wohl seine Prioritäten legen. vor 2 Minuten schrieb Dukel: Was für Programme waren denn auf den Servern offen? Die Verwaltungstools der Dienste? Unterschiedlich - die AD Verwaltung (DNS, User, Computer, DHCP, usw.) läuft eigentlich über die Admin PCs. Dort sind die RSAT Tools installiert und wir öffnen diese mit unserem persönlichen Admin um die Arbeiten durchzuführen. Das müsste so ja ok sein, oder ist es besser sich mit seinem persönlichen Server Admin per RDP auf den jeweiligen Server zu schalten und dort die Arbeiten auszuführen? Auf den Servern waren dann meistens Anwendungen offen, für die es keine "Remote Verwaltungskonsolen" gab und man eben direkt auf den Server arbeiten musste. Nichts zwingendes und eben nur Komfort. In Zukunft müsste man das eben erst noch öffnen, wenn man sich mit seinem persönlichen Server Admin Account angemeldet hat. Ich tendiere jetzt zu folgender Lösung 3 Accounts - normaler User, einen AD Admin und einen Server/Client Admin. Bin noch etwas unentschlossen ob wir wirklich die harte Grenze zwischen Server und Clients ziehen müssen. Ich muss mir auch noch den Link von testperson anschauen ( ) Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 vor einer Stunde schrieb phatair: Bin noch etwas unentschlossen ob wir wirklich die harte Grenze zwischen Server und Clients ziehen müssen. Ist halt so, die Chance das ein Client PC infisziert wird, ist deutlich höher als ein Server (Surfverhalten, E-Mail etc.). Wenn das PW bzw. der Hash des Admins auf dem Client zwischengespeichert wird, dann kann es von entsprechenden Tools extrahiert oder einfach nur verwendet werden. Ist gar nicht mal no schwierig wenn ein Prozess damit gestartet ist und man Admin-Rechte hat. Admin-Rechte bekommen die Dinger immer irgendwie. Daher geht die Empfehlung auch dahin, das strikte zu trennen. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. Februar 2019 Autor Melden Teilen Geschrieben 21. Februar 2019 OK, soweit verstanden. Damit im "Schadensfall" nur die Clients betroffen sind und nicht die Server, sollte diese Trennung stattfinden. Aber was ist dann mit meinem PC. Ist es in Ordnung z.B. AD Snap-ins vom RSAT auf meinem Client auszuführen ("Als Administrator ausführen" und dann as entsprechenden Admin Server Login zu verwenden) oder sollte man lieber direkt auf den Servern per RDP arbeiten? Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 Am besten über eine gesicherte Konsole (Client oder Server). Bei Microsoft PAW genannt -> https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations 1 Zitieren Link zu diesem Kommentar
Lian 2.436 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 vor 3 Stunden schrieb phatair: Hm...heißt das, jeder der lesenden Zugriff auf das AD hat kann die Passwörter auslesen? Nein, nicht jeder - aber jeder im Helpdesk und jeder Administrator. 1 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 21. Februar 2019 Melden Teilen Geschrieben 21. Februar 2019 (bearbeitet) Wenn man es komplett durchzieht gibt es Admin Maschinen (PC's, Terminalsserver/Jump Server) die für eine Zone zuständig sind. Diese werden speziell abgesichert (TPM, Credential Guard). https://www.heise.de/select/ix/2016/12/1480756032454180 https://www.heise.de/select/ix/2016/12/1480768282398094 EDIT: Es gehören noch mehr Komponenten dazu. Netzwerktechnisch sollten die Zonen auch getrennt werden (VLans). bearbeitet 21. Februar 2019 von Dukel 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 21. Februar 2019 Autor Melden Teilen Geschrieben 21. Februar 2019 Danke euch - ich sehe schon, dass kann ein großes Projekt werden :) Ich werde jetzt erstmal die Verwaltung der Admin Accounts anpassen. Wir werden pro Admin 4 Accounts verwenden (wie von Dukel geschrieben). Das sollte schon mal eine deutliche Verbesserung sein. Dann werden wir die Nutzung des Domain Admins unterbinden und schauen ob wir das über GPOs geregelt bekommen (https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html ) Die lokalen Admin Passwörter werden wir dann über LAPS oder AdmPwd.E verwalten. Danach werde ich mir Gedanken über die PAW/Jump Server machen und prüfen ob und wie wir unsere VLANs anpassen/erweitern müssen. Da bin ich dann mal etwas beschäftigt - aber das sehe ich als wichtig an. Vor allem da wir eher noch mehr IT Mitarbeiter werden. Vielen Dank für eure schnelle Hilfe und die Tips. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.