cj_berlin 1.329 Geschrieben 22. November Melden Teilen Geschrieben 22. November vor 17 Minuten schrieb Pipeline: hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Jetzt könnte ich lässig auf mein Buch verweisen Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. November Melden Teilen Geschrieben 22. November Moin, Das wollte ich kürzlich bestellen, aber die Webseite sagte, das könne ich aus meinem Land nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. November Melden Teilen Geschrieben 22. November Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 22. November Melden Teilen Geschrieben 22. November vor 16 Minuten schrieb NorbertFe: Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Ich habe keine Ahnung, aber bei APress glaube ich das eher nicht. 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. November Melden Teilen Geschrieben 23. November vor 22 Stunden schrieb Pipeline: Moin Martin, hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 23. November Melden Teilen Geschrieben 23. November vor 1 Stunde schrieb daabm: Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Bisher habe ich noch keinen RED-Forest/Admin-Forest. Werde es bald für eine PROD-Umgebung bauen dürfen. Darauf freue ich mich. Wie sind Eure Erfahrungen auf die Zuverlässigkeit? Nutzt ihr ein PAM? Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 25. November Melden Teilen Geschrieben 25. November Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.