cj_berlin 1.401 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 vor 17 Minuten schrieb Pipeline: hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Jetzt könnte ich lässig auf mein Buch verweisen Zitieren
NilsK 2.978 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 Moin, Das wollte ich kürzlich bestellen, aber die Webseite sagte, das könne ich aus meinem Land nicht. Gruß, Nils Zitieren
NorbertFe 2.155 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Zitieren
cj_berlin 1.401 Geschrieben 22. November 2024 Melden Geschrieben 22. November 2024 vor 16 Minuten schrieb NorbertFe: Ist eigentlich im Softcover das eboook mit inkludiert oder muss man beides kaufen? Ich habe keine Ahnung, aber bei APress glaube ich das eher nicht. 1 Zitieren
daabm 1.386 Geschrieben 23. November 2024 Melden Geschrieben 23. November 2024 vor 22 Stunden schrieb Pipeline: Moin Martin, hast du dazu ("Shadow Principals" und "Break-Glass-Accounts") für mich eine gute Quelle zum nachlesen? Wenn Evgenij @cj_berlin das abdeckt, würde ich auch auf sein Buch verweisen. Praxinaher bekommst das bei Microsoft definitiv nicht erklärt Ansonsten ist das ein Teil der Maßnahmen aus ESAE. Break Glass sollte klar sein - Admin-Account in der jeweiligen Domäne, dessen Kennwort in einem Safe verwahrt wird und dessen Benutzerkonto explizit überwacht wird (Änderungen, Anmeldungen). Shadow Principal ist was mit Kerberos. Da ist der User nicht "direkt" Mitglied einer Gruppe, sondern eines sog. Shadow Principals. Bei der Anmeldung wird die SID dieses Shadow Principal injiziert, dadurch ist die Gruppenmitgliedschaft dann in der Anmeldesession trotzdem vorhanden. Braucht aber einen PAM-Trust, ergo einen zweiten (Admin- oder Red-) Forest -> sind wir wieder bei ESAE. Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Zitieren
MurdocX 965 Geschrieben 23. November 2024 Melden Geschrieben 23. November 2024 vor 1 Stunde schrieb daabm: Sieht übrigens lustig aus - wenn ich mich anmelde in unseren Gold-Forests, bin ich in meiner Session in Domain xyz zeitgleich (whoami /groups) Mitglied von Domain Admins in 5 Domänen Bisher habe ich noch keinen RED-Forest/Admin-Forest. Werde es bald für eine PROD-Umgebung bauen dürfen. Darauf freue ich mich. Wie sind Eure Erfahrungen auf die Zuverlässigkeit? Nutzt ihr ein PAM? Zitieren
daabm 1.386 Geschrieben 25. November 2024 Melden Geschrieben 25. November 2024 Leider kein PAM in dem Sinne (mit restricted TGT livetime)... Probleme sind uns keine bekannt, solange Anwendungen sich darauf verlassen, daß Windows die Authentifizierung handhabt. Leider gibt es aber ziemlich viel Gedöns, das da ganz eigenartige Dinge prüft bis hin zu "User ist direkt Mitglied von abc in Domäne xyz". Das geht dann regelmäßig in die Hose. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.