Leidiges Thema lokale Adminrechte

[todde_hb 4]

Moin zusammen,

 

leider benötigen einige unserer Reisenden Mitarbeiter hin und wieder lokale Adminrechte, damit sie vor Ort beim Kunden Software installieren können. An und für sich ja kein Problem. Ich habe eine Policy erstellt, mit der eine vordefinierte Gruppe lokale Adminrechte erhält. Ich muss also den User dann nur in diese Gruppe stecken. Was aber mache ich, wenn der User nicht vor Ort im LAN ist und somit die neue Gruppenmitgliedschaft gar nicht auf seinen PC übertragen wird? VPN wird ja erst nach dem Login Aktiv und mein Kenntnisstand besagt, dass Gruppenmitgliedschaften beim Login und gleichzeitiger Verbindung zum DC übertragen werden. Ist dies so noch zutreffend bzw. Kann man Gruppenmitgliedschaften auch nach dem Login noch zuweisen?

 

ciao, todde_hb

[NilsK 2.939]

Moin,

 

der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen.

 

Gruß, Nils

 

[todde_hb 4]

vor 4 Minuten schrieb NilsK:

Moin,

 

der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen.

 

Gruß, Nils

 

 

Ja, aber das ist ein anderes Thema. 

[NorbertFe 2.045]

vor 8 Minuten schrieb todde_hb:

Ja, aber das ist ein anderes Thema. 

Eigentlich nicht. ;) LAPs wäre eine Option, aber die wird weder dir noch den Usern gefallen. ;)

[NilsK 2.939]

Moin,

 

dann wüsste ich nicht, was das Thema sein soll.

 

Zu deiner Frage: Nein, eine Gruppenmitgliedschaft lässt sich nach dem Login nicht mehr ändern.

 

Zitat

LAPs wäre eine Option, aber die wird weder dir noch den Usern gefallen. 

Und sie ist für dieses Szenario ja auch nicht gedacht.

 

Gruß, Nils

 

bearbeitet 29. April 2021 von NilsK

[testperson 1.682]

Hi,

 

evtl. wäre es hier ein Ansatz, den Usern eine VM (auf dem Notebook im Win10) bereitzustellen, in der er schalten und walten kann.

 

Gruß

Jan

[NorbertFe 2.045]

vor 43 Minuten schrieb NilsK:

Und sie ist für dieses Szenario ja auch nicht gedacht.

 

Ich hab noch überlegt, ob ich den Satz um " , und hier im Forum wird sie auch keinen Anklang finden" ergänze. ;)

[daabm 1.356]

vor 11 Stunden schrieb todde_hb:

 

VPN wird ja erst nach dem Login Aktiv und mein Kenntnisstand besagt, dass Gruppenmitgliedschaften beim Login und gleichzeitiger Verbindung zum DC übertragen werden. Ist dies so noch zutreffend bzw. Kann man Gruppenmitgliedschaften auch nach dem Login noch zuweisen?

"Connect before logon" kennst Du? Im übrigen stimme ich den Vorrednern zu.

[Bubblegum 0]

Es gibt noch die Applikation "Make me Admin", womit du für einen befristeten Zeitraum Adminrechte bekommst.

[cj_berlin 1.323]

vor 4 Minuten schrieb Bubblegum:

Es gibt noch die Applikation "Make me Admin", womit du für einen befristeten Zeitraum Adminrechte bekommst.

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat

[Bubblegum 0]

vor 21 Minuten schrieb cj_berlin:

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat

Vielleicht wäre die Überlegung Adminkonten komplett zu untersagen und durch die Applikation den User für einen befristeten Zeitraum in die lokale Admingruppe zu heben.

[cj_berlin 1.323]

Das hilft alles nichts. Admin ist Admin. Sobald jemand, der nicht als Admin verpflichtet wurde, die Rechte eines Admins bekommt, ist vorbei.

Manche sicherheitsbewusste Organisationen machen Rechner, auf denen sich ein lokaler Admin unterwegs anmelden musste, um etwas zu fixen, wieder platt und betanken sie neu, bevor sie wieder ins LAN dürfen.

[daabm 1.356]

@cj_berlin Ewig grüßt das Murmeltier Ich glaub die Diskussion um "wie kann ich einen Admin einschränken" werden wir nie los.