Verwaltung Active-Directory / Sprungserver

[Garant 3]

Guten Morgen,

 

wie sieht eure Umgebung zur Verwaltung vom Active-Directory aus?
Nutzt ihr Sprungserver (Terminalserver?), haben die IT-Benutzer für den Sprungserver auch eigtl. Credentials oder werden die eigtl. User-Accoutns genommen und nur vom Sprungserver gibt es dann die entsprechenden Credentials zur Verwaltung vom AD bzw. einzelner Dienste?

[lefg 276]

Wir haben im Laufe der Zeit einige Möglichkeiten genutzt. Den Begriff Sprungserver kannten wir nicht.

 

Aber heute gibt es RSAT https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools

bearbeitet 17. September 2020 von lefg

[Dukel 451]

1 hour ago, lefg said:

Aber heute gibt es RSAT https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools

Hat aber nichts mit der Problematik der Credentials und einem Jump Server zu tun.

Die Frage ist wo man RSAT nutzt. Auf dem eigenen Rechner, auf einem Sprung Server oder auf was ganz anderem (z.B. ein eigener Admin Rechner).

[daabm 1.348]

Ideal wäre der Admin-Rechner. Einfacher ist ein Jumpserver, auf dem man sich NICHT mit dem Work-Account anmeldet, sondern mit dem Admin.

[Dukel 451]

Bei dem ganzen Thema sollte man sich auch Credential Guard anschauen.

 

[falkebo 21]

Meine aktuell "sicherste" Umgebung habe ich für einen Kunden wie folgt aufgebaut:

S2D Cluster welches in einer eigenen "Fabric" Domain bzw. Forest beheimatet ist.
Auf dem Cluster laufen virtuelle Maschinen welche ebenfalls in der Fabric Domain beheimatet sind (WSUS, PKI, File, Mgmt, Gateway Server ODER AUCH Jumpserver genannt), diese haben nur den Zweck, Dienste und Ressourcen für den Betrieb der Fabric bereitzustellen.
Die Fabric Domain ist mit Windows Server Baseline Templates gehärtet.

 

Ebenfalls laufen auf dem Cluster Maschinen welche zur eigentlichen "Company" Domain bzw. Forest gehören, hier sind Applications Server, WSUS, PKI, Exchange, usw. beheimatet.
Company Server und Client Netzwerk sind mit VLANs getrennt, sprich jegliche Kommunikation wird granular über die Firewall erlaubt. RDP z.B. ist prinzipiell aus dem Client Netzwerk nicht möglich.
Eine Verbindung um die Fabric (und damit auch die Company) zu administrieren, ist nur über das Remote Desktop Gateway (HTTPS) auf den Management Server möglich.

Die Verbindungen auf den Management Server via Gateway/Jumphost erfolgt über eine Sophos Firewall, diese lässt die Kommunikation nur zu, wenn der Sophos Endpoint auf dem Administrator PC einen grünen Status besitzt, sprich frei von Malware oder PUAs etc. ist.

 

Für verschiedene Zwecke gibt es natürlich verschiedene Credentials, 2-Faktor für den Zugriff auf den Management Server ist aktuell im Gespräch.
Da hängen natürlich noch viel mehr Details dran, hoffe das ich nicht zu unverständlich geschrieben habe.
 

bearbeitet 17. September 2020 von falkebo

[Dukel 451]

Ist das "Shadow Principals"?

https://secureidentity.se/msds-shadowprincipal/

 

Dies habe ich bisher bei keinem Kunden so gesehen.

[NilsK 2.930]

Moin,

 

nicht ganz, aber sagen wir: dieselbe Sportart. 

 

Gruß, Nils

 

[daabm 1.348]

vor 4 Stunden schrieb Dukel:

Dies habe ich bisher bei keinem Kunden so gesehen.

Wir sind zwar keiner Deiner Kunden, aber bei uns könntest das sehen Sieht lustig aus - bei "whoami /groups" bin ich zeitgleich in den Domain Admins von 3 Domänen

[BOfH_666 577]

vor 6 Minuten schrieb daabm:

.....  bin ich zeitgleich in den Domain Admins von 3 Domänen

<Spaß>

 

Du Angeber!!   

 

</Spaß>