Verwaltung der Admin Accounts in der IT Abteilung

[Sunny61 806]

vor 25 Minuten schrieb Lian:

vor 3 Stunden schrieb phatair:

Hm...heißt das, jeder der lesenden Zugriff auf das AD hat kann die Passwörter auslesen?

Nein, nicht jeder - aber jeder im Helpdesk und jeder Administrator.

Nur der, der auch wirklich freigegeben wurde. Das lässt sich via Powershell konfigurieren. Steht auch so in den von mir geposteten Artikeln.

[Lian 2.421]

So sieht es aus. Vorgesehen ist es jedenfalls und so kenne ich das auch: https://technet.microsoft.com/en-us/mt227395.aspx

Dennoch ist es empfehlenswert keine Kennwörter im Klartext abzulegen.

[phatair 39]

Eine Frage stellt sich mir noch, vielleicht habt ihr hier auch noch eine Idee.

 

Wir erstellen im 1. Schritt nun für die Admins erstmal 4 Accounts ( normaler User Account, Workstation Admin, Server Admin und für ausgewählte Kollegen einen Domain Admin).

Nun gibt es ja aber auch Systeme die z.B. über eine Webseite oder eine eigene Konsole administriert werden. Hier werden dann ja auch Berechtigungen delegiert (z.B. vmware vSphere Client oder Veeam).

 

Nun kann ich den normalen Benutzer oder den Server Admin Account dort verwenden. Was würde aus eurer Sicht mehr Sinn ergeben?

Ich hätte jetzt gesagt, alle administrativen Tools werden dann auch über den Server Admin Account genutzt.

Oder sollte man dann für jede Applikation noch mal einen eigenen AD User erstellen, der dann die Rechte in der Applikation erhält? Ich glaube die Zeit habe ich im Moment nicht und das wäre dann der nächste oder übernächste Schritt :)

 

Was wären eure Ideen dazu?

[v-rtc 88]

Hallo,

 

wir machen es so :) wenn Du Zeit hast mach es jetzt, ansonsten wird es vermutlich nichts mehr *Erfahrung*.

Jede größere "Anwendung" hat seine eigene OU Struktur ;)

Grüße

bearbeitet 26. Februar 2019 von RolfW

[Dukel 451]

Meinst du Service Accounts oder Admin Accounts für die Applikationen?

Wir nutzen, bei der Trennung von Client, Server und AD Admins, den Server Admin für die Administration der Applikationen.

Teilweise bekommen (via Gruppen geregelt) dann bestimmte Server Admin Accounts nur auf bestimmten Servern oder in bestimmten Applikationen rechte.

Z.b. User1 hat einen Server-Admin und bekommt auf Server1,2 und 3 Adminrechte und für die Applikationen1,2 und 3 Adminrechte. Und User2 hat einen Server-Admin und bekommt auf Server2,3 und 4 Adminrechte und für die Applikationen2,3 und 4.

[phatair 39]

Also für mich bedeutet Service Account = Account unter dem ein Dienst ausgeführt wird. Davon spreche ich nicht.

Ich meine Admin Accounts für bestimmte Applikationen z.b. um mich am vmware vsphere Web Client anmelden zu können oder in der Veeam Konsole etwas durchführen zu können.

 

vor 4 Minuten schrieb Dukel:

Teilweise bekommen (via Gruppen geregelt) dann bestimmte Server Admin Accounts nur auf bestimmten Servern oder in bestimmten Applikationen rechte.

Z.b. User1 hat einen Server-Admin und bekommt auf Server1,2 und 3 Adminrechte und für die Applikationen1,2 und 3 Adminrechte. Und User2 hat einen Server-Admin und bekommt auf Server2,3 und 4 Adminrechte und für die Applikationen2,3 und 4.

Das würde bedeuten, User1 kann sich mit User1 am Server 1, 2 und 3 anmelden und kann dort auch die Applikationen mit dem Benutzer User1 nutzen. 

Das würde bedeuten, er kann mit seinem "Server Admin" sowohl auf den Server als auch auf die Applikationen zugreifen, richtig?

 

Die Methode von RolfW wäre, User1 kann sich mit dem Benutzernamen User1 am Server 1, 2 und 3 anmelden. Auf die Applikationen kann er dann aber mit dem User  App1-User1 auf Server1, App2-User1 auf Server2 und App3-User1 auf Server3 zugreifen. 

Das würde bedeuten es gibt einen Server Admin Account, mit diesem kommt er auf die ausgwählten Server. Für jede Applikation gibt es aber dann noch mal einen extra Admin Account.

Das wäre natürlich schon eine recht komplexe Vergabe von Admin Accounts.

 

Verstehe ich das richtig?

[Dukel 451]

Für meinen Teil: Korrekt.

 

User1 -> Normaler User

User1_admin_srv -> Server User

 

Grp_ESX_Admins -> Administriert ESX, Adminrechte auf Server X

---> User1_admin_srv

 

Ggf. noch mit einer Zwischenebene.

Bestimmte Server Admin User (sowohl alle, als auch pro Verwaltungseinheit (Z.b. ein Standort)) kommen in eine Gemeinsame Server Admin Gruppe Grp_Server_Admins und diese Gruppe wird im ESX berechtigt.

[v-rtc 88]

vor einer Stunde schrieb phatair:

Also für mich bedeutet Service Account = Account unter dem ein Dienst ausgeführt wird. Davon spreche ich nicht.

Ich meine Admin Accounts für bestimmte Applikationen z.b. um mich am vmware vsphere Web Client anmelden zu können oder in der Veeam Konsole etwas durchführen zu können.

 

Das würde bedeuten, User1 kann sich mit User1 am Server 1, 2 und 3 anmelden und kann dort auch die Applikationen mit dem Benutzer User1 nutzen. 

Das würde bedeuten, er kann mit seinem "Server Admin" sowohl auf den Server als auch auf die Applikationen zugreifen, richtig?

 

Die Methode von RolfW wäre, User1 kann sich mit dem Benutzernamen User1 am Server 1, 2 und 3 anmelden. Auf die Applikationen kann er dann aber mit dem User  App1-User1 auf Server1, App2-User1 auf Server2 und App3-User1 auf Server3 zugreifen. 

Das würde bedeuten es gibt einen Server Admin Account, mit diesem kommt er auf die ausgwählten Server. Für jede Applikation gibt es aber dann noch mal einen extra Admin Account.

Das wäre natürlich schon eine recht komplexe Vergabe von Admin Accounts.

 

Verstehe ich das richtig?

Sorry, nicht ganz.

 

Aktuell gibt es einen Admin Account für Server + Anwendungen den wir zuweisen, um den Server oder die Anwendung zu administrieren.

Beispiel:

 

Admin Account -> Rollengruppe Administrator Fileserver -> AD Gruppe 1

Admin Account -> Rollengruppe Administrator VMware -> AD Gruppe 88

usw.

Wir trennen in einem Gebiet dann zwischen Administratoren, Funktionskonten und Dienstkonten usw.

 

Später gibt es dann noch einen Domänen Admin Account, der nur Aufgaben im AD betreut. (Ebenen einziehen) Quelle: https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/securing-privileged-access-reference-material

Klar könnte man Tier 1 dann noch so ausbauen und x Admin Konten für einen User bauen, aber ich denke, dann lieber eine Smartcard oder sowas...

bearbeitet 26. Februar 2019 von RolfW

[phatair 39]

Danke euch beiden.

Wir werden dies dann auch so umsetzen. Server Admin Accounts für jeden IT Mitarbeiter, diese Accounts werden dann Gruppen zugeordnet und diese Gruppen wiederum den entsprechenden Servern/Applikationen.

 

Die Workstation Admins sind dann separate Accounts, Domänen Admins gibt es nur für spezielle Mitarbeiter und werden auch nur für solche Tätigkeiten genutzt. Anmelden von Domänen Admins an PCs wird unterbunden. Lokale Admin Passwörter werden über LAPS oder AdmPwd.E gemanaged.

 

Als letzten Schritt werden wir dann noch die Server und Clients trennen (VLAN) und entsprechende Jump Server einführen. 

Da wir demnächst sowieso unsere komplette Firewall austauschen, werden wir das dort gleich berücksichtigen.

 

Es gibt viel zu tun, aber es wird Zeit diese sehr gewachsene (und auch unsichere) Struktur endlich aufzuräumen 

[v-rtc 88]

Kannst du mehr über Jump Server sagen? Hatte ich noch nicht.

Jepp riesen Aufwand. Und Gruppen sind einfach zu handhaben. Das ganze könntest du noch über Smartcards umsetzen... 

 

Bei VLANs könntest Du noch weiter gehen und auch „Gruppen“ Bauen... z.B. VM Hosts, Exchange, Testumgebungen usw. ein eigenes VLAN... 

[magheinz 110]

Bei den VLANs musst du halt schauen nach welchen Kriterien du separieren willst: geografisch(Liegenschaft, Gebäude, Etage, Raum etc) , funktional(Pers. Abt., fertigung, Einkauf etc) , nach Gerätetyp etc. Man kann das auch alles mischen. Mach dir auf jeden Fall vorher einen vernünftigen Plan, überlege welchen Sinn die VLANs haben sollen etc. 

 

Soll das alles der Sicherheit dienen soll, mach dir gleich noch Gedanken über 802.1x, TACACS etc

[daabm 1.348]

Aufpassen, daß es nicht zu kompliziert wird, sonst scheiterst Du an der Akzeptanz... Ein Anwendungs-Admin braucht auf den zugehörigen Servern nur RDP/Interactive, da braucht es keinen extra User. Und wenn da nur die eine Anwendung läuft, dann schadet lokaler Admin auch nicht wirklich. Wenn die Anwendung nicht ohnehin remote zu administrieren ist.

[phatair 39]

Einen großen Dank an euch alle - es hilft mir sehr einen guten Weg für die Verwaltung der Admin Accounts zu finden.

 

vor 17 Stunden schrieb RolfW:

Kannst du mehr über Jump Server sagen? Hatte ich noch nicht.

Zitat von hier

Zitat

Jump server

Administrative "Jump Server" architectures set up a small number administrative console servers and restrict personnel to using them for administrative tasks. This is typically based on remote desktop services, a 3rd-party presentation virtualization solution, or a Virtual Desktop Infrastructure (VDI) technology.

vor 11 Stunden schrieb daabm:

Aufpassen, daß es nicht zu kompliziert wird, sonst scheiterst Du an der Akzeptanz... Ein Anwendungs-Admin braucht auf den zugehörigen Servern nur RDP/Interactive, da braucht es keinen extra User. Und wenn da nur die eine Anwendung läuft, dann schadet lokaler Admin auch nicht wirklich. Wenn die Anwendung nicht ohnehin remote zu administrieren ist.

Da hast du Recht, ich möchte es auch gar nicht zu kompliziert machen und erstmal muss dieses sinnlose verwenden des Domänen Admins für Arbeiten auf dem Server verhindert werden. Der erste Schritt mit den getrennten Admin Accounts ist im moment am wichtigsten. Alles andere müssen wir dann langsam entwickeln und uns eine eigene passende Struktur überlegen.

 

Aber jetzt habe ich erstmal eine gute Übersicht, was es alles zu berücksichtigen gibt und eben auch verschiedene Ideen wie man was umsetzen kann. Die Details und alles andere müssen wir dann für uns intern klären.

bearbeitet 27. Februar 2019 von phatair

[v-rtc 88]

Kannst Dich ja gerne zwischendurch mal melden. Wir wollen es auch verschärfen dieses Jahr... viel Spaß und Erfolg 

[phatair 39]

Das mache ich gerne.

 

Bin gerade dabei die Konfig der Server genauer zu prüfen und mit dem Tool Hyena (Danke ans Forum für den Tip) die Dienste und Aufgaben zu prüfen (welche Accounts hier verwendet wurden).

Dabei ist mir jetzt aufgefallen, dass unsere Server die Anmeldung von Domänen Benutzern zulassen (Standardeinstellung). Unsere Server sind alle virtualisiert und ein Zugriff ist nur per RDP oder VMWare Console möglich. Hier sind natürlich die Domänen Benutzer in keiner Weise berechtigt.

 

Wenn ich die bisherige Diskussion aber richtig verstehe, nehme ich die Domänen Benutzer hier raus bzw. konfiguriere es wie folgt.

Über eine GPO -> Zuweisen von Benutzerrechten -> "Lokal anmelden zulassen" -> hier packe ich meine AD "Server Administratoren" Gruppe rein, die "lokale Administratoren" Gruppe und sonstige Gruppen die sich anmelden dürfen (z.B Applikations bezogenen Gruppen).

Über eine GPO -> Zuweisen von Benutzerrechten -> "Lokal anmelden verweigern" könnte ich noch den Domänen Admins das anmelden verbieten

 

Ebenso füge ich dann per GPO -> Einstellungen -> Lokale Benutzer und Gruppen die gewünschten Gruppen der lokalen Administratoren Gruppe hinzu.

 

Somit wären die Domänen Benutzer und sonstige Benutzer raus und dieser Punkt schon mal sauber konfiguriert.