StefanWe 14 Geschrieben 22. Februar 2020 Melden Teilen Geschrieben 22. Februar 2020 Hallo, wir sind gerade dabei und schaffen die Domänen-Admins ab und ersetzen diese durch delegierte Administration. Bedeutet: Aktuell arbeiten 17 Leute in der IT als Dom Admin. Schön einfach und praktisch, man kommt überall dran. Das wollen wir nun nicht mehr. Die Admins administrieren vom Client, über Fileserver Berechtigungen bis hin zu Servern eigentlich alles. Allerdings nur in ihrem Scope. Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen. Damit dieses "ummelden" nciht notwendig ist. Eine Admin Station wäre auch eine Idee, aber bedeutet auch doppelten Aufwand. Klar, ist der eine normale Benutzer mit allen Berechtigungen ausgestattet, und wird gekapert, so hat der Angreifer gleich volles Recht auf alles. Hat der Admin aber zwei Benutzer und muss sich ständig ummelden, nervt es ihn. Hat eventuell für den admin Benutzer ein schlechtes Kennwort und ist ebenfalls leicht angreifbar. Hatte auch schon überlegt, alle zentralen Server mit einem admin Benutzer zu verwalten, alle Clients mit dem normalen Benutzer. Aber sobald es dann an RSAT Tools geht, nervt es wieder, diese mittels Ausführen als auszuführen. Daher meine Frage, welchem Konzept verfolgt ihr ? Jetzt könnte die klassische Frage sein, Anforderung definieren. Da würde ich antworten, höchstmaß an Sicherheit bei bestmöglichem Komfort für die Admins. Wir haben keine großen Industriegeheimnisse und sind auch kein Chemie oder sonstwas Konzern. Also alles recht simpel gehalten bei uns. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 22. Februar 2020 Melden Teilen Geschrieben 22. Februar 2020 vor einer Stunde schrieb StefanWe: Nun stellt sich uns die Frage, zum normalen Benutzer, womit er Office und co nutzt einen weiteren Admin Benutzer erstellen, oder gleich dem "normalen" Benutzer die delegierten Berechtigungen verpassen. Für mich ist das keine Frage. Und wer sich über diese Tatsache Gedanken macht, sollte nochmal überlegen, warum er denn delegation einführen will. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. Februar 2020 Autor Melden Teilen Geschrieben 22. Februar 2020 vor 32 Minuten schrieb NorbertFe: Für mich ist das keine Frage. Und wer sich über diese Tatsache Gedanken macht, sollte nochmal überlegen, warum er denn delegation einführen will. Ganz klar, nur die Rechte die er für seine täglichen Aufgaben benötigt. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 23. Februar 2020 Autor Melden Teilen Geschrieben 23. Februar 2020 Ich bin über folgenden Artikel von Franky gestolpert. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/ Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients. Für das Tier 1 würde ich entsprechende Admin Konten anlegen. Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt. Wie geht man mit RSAT Tools um. Würde man die Benutzer für Tier 2, berechtigen, RSAT Tools zu benutzen um damit Aufgaben zu erledigen, welche das Tier 2 betreffen? Also Beispielsweise DHCP, Gruppenrichtlinien oder AD Benutzer und Computer verwalten ? Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 23. Februar 2020 Melden Teilen Geschrieben 23. Februar 2020 35 minutes ago, StefanWe said: Jetzt stellt sich aber folgende Frage: Wie verhindere ich, dass sich mit den Admin Konten welche für Tier 1 oder 0 berechtigt sind, eine Anmeldung an Tier 2 erfolgt ? Prinzipiell kann sich an Tier 2 Systemen ja jeder anmelden, da es sich um Clients handelt. Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO. Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 23. Februar 2020 Autor Melden Teilen Geschrieben 23. Februar 2020 vor 1 Minute schrieb Dukel: Das kann man einschränken. Man kann z.B. definieren, dass sich bestimmte Benutzer (aus einer Gruppe) nicht Lokal und via RDP einloggen dürfen. Das geht auch per GPO. Hi Dukel, ich finde nur die GPO zum Erlauben von Benutzern sich anzumelden. Hier steht bei Clients generell Domänen Benutzer drin. Gleiches gilt für RDP. Ich finde aber keine GPO, die bestimmte Gruppen verweigert. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 23. Februar 2020 Melden Teilen Geschrieben 23. Februar 2020 Windows Settings\Security Settings\Local Policies\User Rights Assignments\Deny logon locally bzw. Deny logon through Remote Desktop Services Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 23. Februar 2020 Melden Teilen Geschrieben 23. Februar 2020 vor 3 Stunden schrieb StefanWe: Das Tier Modell finde ich super. Demnach würde ich hingehen, und die normalen Benutzer der Admins auf Tier 2 berechtigen, für alle Tätigkeiten rund um die Clients. Vielleicht war ich nicht deutlich. ;) ein Benutzer ist ein Benutzer und ein Admin ist ein Admin. Man mischt das nicht. Auch nicht Mal so und gerade im Tier Modell nicht. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 Moin, Abgesehen davon, ist Frankys Behauptung das Tier-Modell sei eine einfache Maßnahme, nicht zutreffend. Es ist komplex. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.