Jump to content

Zugriff auf Admin Freigaben von Servern

StefanWe

Von StefanWe
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

StefanWe Veteran

StefanWe   14

Geschrieben
Geschrieben

Hallo,

es macht ja nur Sinn, seine tägliche Arbeit als Administrator mit einem normalen Benutzer durchzuführen und nicht mit seinem Admin Benutzer.

Nun möchte man manchmal Dateien auf oder von einem Server kopieren und nutzt dafür die Dateifreigabe. Manchmal gern auch die Adminfreigabe wie c$.

 

Windows erlaubt die Anmeldung an einem entfernten System nur mit einem Benutzer. Daher kommt es häufig vor, dass man eine "aktive" Anmeldung am Server mit seinem normalen Benutzer hat und sich dann nicht mit seinem Admin Benutzer auf die c$ Freigabe zugreifen kann. Hier hilft nur abmelden vom Client und neuanmelden, was ziemlich nervt.

 

Kennt jemand eine alternative Lösung ?

Link zu diesem Kommentar
daabm Grand Master

daabm   1.348

Geschrieben
Geschrieben

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben
vor 12 Stunden schrieb daabm:

Um die Antwort von Nils eine Stufe weiter zu treiben und preiswerter zu machen: Der "Admin-Client" ist das OS des Blechs, vor dem man sitzt. Auf dem aktiviert man Hyper-V, und in der ersten VM läuft dann der "Daily Business-Rechner" mit allen Anwendungen. In einer idealen Welt kommt der aus seiner VM nicht raus und der Admin-Client bleibt sauber. Taucht sinngemäß so auch in den ESAE-Empfehlungen von MSFT auf.

 

Habs mir schon gedacht. Werden wir dann wohl so umsetzen. Danke.

Link zu diesem Kommentar
StefanWe Veteran

StefanWe   14

Geschrieben
  • Autor
Geschrieben
vor einer Stunde schrieb MurdocX:

Ich hab so das letzte Jahr gearbeitet. Schön ist was anderes. Stellt euch schon mal auf Unmut ein. 
 

Wenn man mich nochmal zu dem Konzept fragt, würde ich wohl RemoteApp für Outlook etc. auf dem Admin-Client bevorzugen. 

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Link zu diesem Kommentar
BOfH_666 Veteran

BOfH_666   577

Geschrieben
Geschrieben
vor einer Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Hmmm .... Abwägung zwischen Risiko/Sicherheit und Komfort ....  ich weiß ja nicht, auf welch dubiosen Seiten Du Dich während der Arbeitszeit surfenderweise im Internet rumtreibst, aber nach meiner Erfahrung sind die Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

Link zu diesem Kommentar
MurdocX Veteran

MurdocX   949

Geschrieben
Geschrieben
vor 1 Stunde schrieb StefanWe:

Aber damit würdest du dann ja auch auf dem Admin PC surfen und das ist ja nicht gewollt.

Technisch gesehen nicht, denn die Anwendungssitzungen befindet sich auf dem RDSH. Dies ist übrigens auch als anderes PAW-Szenario (Privileged Access Workstation) bei Microsoft aufgeführt. 

https://docs.microsoft.com/de-de/windows-server/identity/securing-privileged-access/privileged-access-workstations

 

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

wer Bedenken hat, kann ja auch mit separaten Rechnern arbeiten. So abwegig ist das nun auch wieder nicht. Und unbequem - ja, meine Güte, sicher. Das relativiert sich spontan, wenn man sich mal die Umstände ansieht, die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...). Wir reden hier ja nicht von den Normalanwendern, sondern von den Admins.

 

Gruß, Nils

 

  • Like 1
Link zu diesem Kommentar
daabm Grand Master

daabm   1.348

Geschrieben
Geschrieben
vor 13 Stunden schrieb NilsK:

die an wirklich regulierten Bereichen gelten (Krankenhaus, Pharma, Kraftwerke ...).

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

Und eine Arbeits-VM auf einem Admin-Hostrechner, das ist doch nun wirklich keine große Einschränkung...

vor 14 Stunden schrieb BOfH_666:

Seiten, die man üblicherweise ansteuert, zu 99,99% safe und stellen keine Gefahr dar.

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%? Ich kann mir niemanden vorstellen, der das bei einer derart hohen Wahrscheinlichkeit machen würde...

Keiner unserer Jumpserver kann ins Internet. Keiner der darüber ereichbaren Admin-Server kann ins Internet. Kein Domain Controller kann ins Internet. Und das ist auch gut so. (Könnte noch besser sein, aber ok...)

Link zu diesem Kommentar
BOfH_666 Veteran

BOfH_666   577

Geschrieben
Geschrieben
vor 3 Stunden schrieb daabm:

Um die 99,99% geht's ja auch nicht. Es geht um die 0,01%... Würdest Du bei einer Überlebenswahrscheinlichkeit von 9999:1 von einer Brücke springen? Also die Wahrscheinlichkeit, daß Du stirbst, liegt bei 0,01%?

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

Link zu diesem Kommentar
Dukel Grand Master

Dukel   451

Geschrieben
Geschrieben
5 hours ago, BOfH_666 said:

Hmmm ... der Vergleich hinkt aber ganz gewaltig, meiner Meinung nach .... das Risiko, um das es hier geht, ist ja keins für Leib und/oder Leben ... und ich war früher Fallschirmspringer, da fängst Du das potenzielle Risiko auch mit entsprechenden Sicherheitsmaßnahmen ab. :aetsch2: 

In manchen IT Bereichen geht es um Leib und Leben.

Und um die Sicherheitsmaßnahmen geht es hier ja gerade.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben
vor 4 Minuten schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Hmm, wenn die Betreiber das auch so sehen würden. ;) ich kann da dem folgenden Zitat nur zustimmen.

 

vor 8 Stunden schrieb daabm:

Hm - da will ich meistens nicht so genau wissen, was da passiert. Nach dem, was man öffentlich mitbekommt, steht es da nicht nur nicht zum Besten, sondern eher nur "geht gerade so noch irgendwie"...

 

Link zu diesem Kommentar
BOfH_666 Veteran

BOfH_666   577

Geschrieben
Geschrieben
vor 1 Stunde schrieb Dukel:

In manchen IT Bereichen geht es um Leib und Leben.

Die sind nach meiner Erfahrung aber eher in der Minderheit. Und wenn Stefan in der Frage nicht explizit angibt, dass es um eine entsprechende Umgebung geht, gehe ich davon aus, dass es eine "normale" Büro-Situation ist. Wir arbeiten ja kaum alle beim Geheimdienst oder in einer Chemie-Fabrik oder so.  :hmmm:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...