cj_berlin 1.334 Geschrieben 4. Mai 2022 Melden Teilen Geschrieben 4. Mai 2022 (bearbeitet) Moin, ich weiß, dass sich hier einige sehr eingehend mit den SOPHOS Firewall-Produkten beschäftigen. Ich hätte hier einen Fall für Schwarmwissen, da der Hersteller es sich einfach macht. Im Dokument "Best Practices for STAS" steht Zitat Enter Windows AD administrator credentials, as shown below. The account is needed to query Windows Event Viewer on AD DC for Event ID 4768, start/stop "Sophos Transparent Authentication Suite" service, and send Windows WMI query to AD workstation to perform workstation polling It is not necessary to be administrator, but it must be a member of group Domain Admins. Event Viewer-Abfrage kann ich mit "Event Log Readers" abfackeln. Sophos Dienst starten kann ich explizit delegieren. WMI zu Workstations kann ich durch lokale Adminrechte dort oder vielleicht sogar noch dediziertere Berechtigungen ermöglichen. Ich möchte den Service-User aus DA raus haben. Und nun die Frage: Hat das hier schon jemand getan und wäre er/sie bereit, das gewonnene Know-How zu teilen? 1000 Dank im vorab! bearbeitet 4. Mai 2022 von cj_berlin Zitieren Link zu diesem Kommentar
NilsK 2.966 Geschrieben 4. Mai 2022 Melden Teilen Geschrieben 4. Mai 2022 Moin, vor 29 Minuten schrieb cj_berlin: It is not necessary to be administrator, but it must be a member of group Domain Admins. herrlich. So einen Unsinn liest man ja selten. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
cj_berlin 1.334 Geschrieben 11. Mai 2022 Autor Melden Teilen Geschrieben 11. Mai 2022 Falls es jemanden Interessiert: Wir haben STAS nun ohne DA ans Laufen bekommen: Logon As a Service auf DCs Builtin\Event Log Readers Full Access auf das Programmverzeichnis von STAS Lokaler Admin auf Workstations (als Abkürzung für Remote WMI) Viel fehlt hier effektiv nicht zum DA, aber das ganze lief im Rahmen eines AD-Audits, und jeder DA, dessen Kennwort nicht abläuft, bringt Strafpunkte 1 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.072 Geschrieben 11. Mai 2022 Melden Teilen Geschrieben 11. Mai 2022 Selbst durchprobiert, oder gabs Unterstützung vom Hersteller? ;) Zitieren Link zu diesem Kommentar
cj_berlin 1.334 Geschrieben 12. Mai 2022 Autor Melden Teilen Geschrieben 12. Mai 2022 vor 13 Stunden schrieb NorbertFe: Selbst durchprobiert, oder gabs Unterstützung vom Hersteller? ;) Ich habe einfach das umgesetzt, was der Hersteller an Verwendungszweck des Accounts dokumentiert, und als dann beim Start des Dienstes "Zugriff verweigert" kam, noch die Schreibrechte für das Verzeichnis nachgetragen. 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.