v-rtc 88 Geschrieben 6. März 2019 Melden Teilen Geschrieben 6. März 2019 Wichtig ist es, dass man eben von einer gesicherten WS (PAW) aus zu den Servern sich verbindet, sonst hat man hier ein leichteres Einfallstor. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 7. März 2019 Autor Melden Teilen Geschrieben 7. März 2019 vor 23 Stunden schrieb RolfW: Wichtig ist es, dass man eben von einer gesicherten WS (PAW) aus zu den Servern sich verbindet, sonst hat man hier ein leichteres Einfallstor. Das habe ich so mitgenommen, allerdings wird das noch dauern bis zur Umsetzung. Das ganze muss ich erstmal verstehen und so schnell setzt man das dann ja auch nicht um. Aber noch mal ganz zurück zum Anfang. Irgendwie sehe ich jetzt gerade den Wald vor lauter Bäumen nicht mehr. Wenn man spezielle Server Admins hat und diese den lokalen Server Administratoren Gruppen zuweist, kann ich die Domänen Administratoren ja aus den lokalen Administratoren Gruppen der jeweiligen Server rausschmeißen (wenn Sie nirgends mehr auf dem Server verwendet werden), richtig? Oder verbietet man nur das anmelden? Stehe gerade auf dem Schlauch... Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Ich meine hier im Forum mal vernommen zu haben, dass man das aus Kompatibilitätsgründen nicht machen sollte. In den Technet-Foren wurde auf diesen Thread https://social.technet.microsoft.com/Forums/windowsserver/en-US/01db509a-1ce0-405a-81c3-4f782a6e5d57/remove-domain-admins-for-member-server8217s-local-administrators-group?forum=winserverManagement verwiesen. Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt. 1 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. März 2019 Melden Teilen Geschrieben 7. März 2019 Klar können sich die Domänenadmins immer benötigte Rechte verschaffen. Diesen (wie allen Admins) muss man vertrauen können. Man kann aber den Default ändern (Dom-Admins aus Admin Gruppe der Server entfernen und / oder das Anmelden verweigern) damit nicht aus versehen oder durch Gewohnheit sich mit einen Dom-Admin auf einem Server oder Client eingeloggt wird. 1 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 Am 7.3.2019 um 10:25 schrieb MurdocX: Wir haben diese Praxis (DL-Sec-Gruppe in den lokalen Admins) seit Jahren so und bisher keine Probleme bei Anwendungen oder sonstigen Remoteverwaltungen (wmi, winrs(ps),dcom) gehabt. Das heißt, ihr habt nur noch eure eigenen DL-Sec-Gruppen in den lokalen Admins und die Domänen-Admins Gruppe komplett entfernt? Da bei uns nur noch max. 2 Domänen Admin Accounts bestehen werden, werde ich wohl dazu tendieren die Anmeldung zu verweigern. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 vor 2 Minuten schrieb phatair: Das heißt, ihr habt nur noch eure eigenen DL-Sec-Gruppen in den lokalen Admins und die Domänen-Admins Gruppe komplett entfernt? Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 8. März 2019 Autor Melden Teilen Geschrieben 8. März 2019 Habe ich auch nicht als Empfehlung aufgenommen. Danke Dir! Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 8. März 2019 Melden Teilen Geschrieben 8. März 2019 Natürlich funktioniert das und kenne ich auch bei vielen Umgebungen gar nicht anders. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 11. März 2019 Melden Teilen Geschrieben 11. März 2019 Am 28.2.2019 um 08:02 schrieb magheinz: Ich dachte man macht AGDLP? Jetzt alow AGLP oder sogar AGP? Eine Woche Urlaub und so viele Fragen :-))) Im Prinzip ist es egal, ob Du A-G-DL-P oder A-G-L-P oder A-G-DL-L-P machst. WIchtig ist das grundsätzliche Prinzip dahinter: Globale Gruppen sind "Rollen". Rollen definieren Aufgaben, für deren Durchführung bestimmte Berechtigungen erforderlich sind. Lokale Gruppen (Domain local oder Server local) definieren genau diese Berechtigungen. Und durch geeignete Verschachtelung erhält jede Rolle die für sie erforderlichen Berechtigungen. Am 1.3.2019 um 07:53 schrieb phatair: Hier wird davon gesprochen, dass der Kerberos-Security-Token mit dem A-G-DL-P Prinzip sehr schnell "voll" wird und das zu Problemen führen kann. Mit der zwischenzeitlich eingeführten SID-Compression (zusätzlich zur größeren Default-Ticket-Size) sollte das kein Problem mehr darstellen. Am 1.3.2019 um 13:05 schrieb magheinz: Im übrigen ist das ein Grund warum man AGDLP macht. Im Forst sind nur die Gruppen der lokalen Domäne im Token. Würde man die Permission über globale Gruppen verwalten wären immer alle im token. Globale Gruppen sind IMMER drin. Am 8.3.2019 um 11:15 schrieb MurdocX: Ja. Damit wollte ich jetzt keine Empfehlung aussprechen, sondern nur betonen das es funktioniert. Wir haben hier ein Konstrukt das nicht üblich ist. Was ist daran unüblich? Wir leeren auf allen Non-DCs die lokalen Admins und füllen die dann bedarfsorientiert auf. Für Dienste, die unter Service-Accounts laufen, hat das keine Auswirkung, da bereits bestehende Anmeldesessions davon nicht beeinflußt werden. 2 Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 12. März 2019 Autor Melden Teilen Geschrieben 12. März 2019 Danke Martin! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.