cj_berlin 1.356 Geschrieben 22. November 2024 Melden Teilen Geschrieben 22. November 2024 vor 17 Minuten schrieb Pipeline: hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Jetzt könnte ich lässig auf mein Buch verweisen Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 22. November 2024 Melden Teilen Geschrieben 22. November 2024 Moin, Das wollte ich kürzlich bestellen, aber die Webseite sagte, das könne ich aus meinem Land nicht. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 22. November 2024 Melden Teilen Geschrieben 22. November 2024 Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Zitieren Link zu diesem Kommentar
cj_berlin 1.356 Geschrieben 22. November 2024 Melden Teilen Geschrieben 22. November 2024 vor 16 Minuten schrieb NorbertFe: Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Ich habe keine Ahnung, aber bei APress glaube ich das eher nicht. 1 Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 23. November 2024 Melden Teilen Geschrieben 23. November 2024 vor 22 Stunden schrieb Pipeline: Moin Martin, hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 23. November 2024 Melden Teilen Geschrieben 23. November 2024 vor 1 Stunde schrieb daabm: Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Bisher habe ich noch keinen RED-Forest/Admin-Forest. Werde es bald für eine PROD-Umgebung bauen dürfen. Darauf freue ich mich. Wie sind Eure Erfahrungen auf die Zuverlässigkeit? Nutzt ihr ein PAM? Zitieren Link zu diesem Kommentar
daabm 1.375 Geschrieben 25. November 2024 Melden Teilen Geschrieben 25. November 2024 Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.