3
3 Tiers und Delegierung
Hallo zusammen,
ich frage mich gerade, ob das 3-Tier Prinzip nicht durch Delegierungen in Konflikt kommt.
Bei dem 3-Tier Prinzip gibt es ja den Domänenadmin, Serveradmin und Clientadmin. Das wären 3 verschiedene Userkonten. Der User arbeitet auch noch mit seinem eigenen Usernamen für die alltäglichen Arbeiten. So kommt es, dass ein Admin, der alles darf, 4 Konten hat:
müller
müller-domadm
müller-srvadm
müller-clientadm
Bei Delegierungen bekommt ja der User "müller" selbst ein Recht etwas in der Domäne zu ändern und hätte damit die Trennung durch das 3-Tier-Prinzip umgangen.
Die Delegierung hat jedoch den Vorteil, dass er seine Domainarbeiten von seinem Konto "müller" mit der einfachen mmc Konsole machen könnte.
Gibt es dafür eine moderne Lösung?
3 MMCs öffnen als jeweils anderer Benutzer und die Delegierung nur auf die drei Tiers statt auf müller beschränken?
Danke euch and keep rockin
Der Mike
ich frage mich gerade, ob das 3-Tier Prinzip nicht durch Delegierungen in Konflikt kommt.
Bei dem 3-Tier Prinzip gibt es ja den Domänenadmin, Serveradmin und Clientadmin. Das wären 3 verschiedene Userkonten. Der User arbeitet auch noch mit seinem eigenen Usernamen für die alltäglichen Arbeiten. So kommt es, dass ein Admin, der alles darf, 4 Konten hat:
müller
müller-domadm
müller-srvadm
müller-clientadm
Bei Delegierungen bekommt ja der User "müller" selbst ein Recht etwas in der Domäne zu ändern und hätte damit die Trennung durch das 3-Tier-Prinzip umgangen.
Die Delegierung hat jedoch den Vorteil, dass er seine Domainarbeiten von seinem Konto "müller" mit der einfachen mmc Konsole machen könnte.
Gibt es dafür eine moderne Lösung?
3 MMCs öffnen als jeweils anderer Benutzer und die Delegierung nur auf die drei Tiers statt auf müller beschränken?
Danke euch and keep rockin
Der Mike
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 585855
Url: https://administrator.de/contentid/585855
Printed on: April 19, 2024 at 16:04 o'clock
3 Comments
Latest comment
Hi,
Im Prinzip so, wie Du schon schreibst. Nur eben bloß 2 Konten pro Admin. Sein "normales" Konto ohne Admin-Rechte und sein Admin-Konto mit allen minimal notwendigen Rechten. Das von Dir genannte "3-Tier Prinzip" setzt Du über Rollen-Gruppen um. Diese Rollen bekommen die Rechte. Die Admin-Konten der Benutzer kommen in die Rollen. Fertig.
E.
Edit:
Ordentlich und genau dokumentieren, welche Rolle wo welches Recht hat. Die Rollen sinnvoll granular benennen.
Im Prinzip so, wie Du schon schreibst. Nur eben bloß 2 Konten pro Admin. Sein "normales" Konto ohne Admin-Rechte und sein Admin-Konto mit allen minimal notwendigen Rechten. Das von Dir genannte "3-Tier Prinzip" setzt Du über Rollen-Gruppen um. Diese Rollen bekommen die Rechte. Die Admin-Konten der Benutzer kommen in die Rollen. Fertig.
E.
Edit:
Ordentlich und genau dokumentieren, welche Rolle wo welches Recht hat. Die Rollen sinnvoll granular benennen.
Sers,
die Trennung von Standard- und Admin-Benutzer macht durchaus Sinn.
Gleichzeitig solltest du auch die Trennung von Rechnern in Betracht ziehen, auf welchen sich diese Benutzer einloggen dürfen. Etwa eine PAW-VM (Privilegierte Admin Workstation), auf der sich der DomAdm Account einloggen darf, während der Login auf "normalen Systemen" verboten bleibt.
Du würdest bei der Trennung von den Benutzerkonten natürlich dem Standard Benutzer müller NICHT die Rechte zur Veränderung der Domäne zuweisen. Nicht per AD Delegation. Der müller Benutzer sollte immer möglichst wenig Rechte haben.
Die Lösung von einer Workstation aus wären eben die 3 MMCs, oder besser per Kraftmuschel und den passenden Credentials auf die Zielmaschinen verbinden.
Grüße,
Philip
die Trennung von Standard- und Admin-Benutzer macht durchaus Sinn.
Gleichzeitig solltest du auch die Trennung von Rechnern in Betracht ziehen, auf welchen sich diese Benutzer einloggen dürfen. Etwa eine PAW-VM (Privilegierte Admin Workstation), auf der sich der DomAdm Account einloggen darf, während der Login auf "normalen Systemen" verboten bleibt.
Du würdest bei der Trennung von den Benutzerkonten natürlich dem Standard Benutzer müller NICHT die Rechte zur Veränderung der Domäne zuweisen. Nicht per AD Delegation. Der müller Benutzer sollte immer möglichst wenig Rechte haben.
Die Lösung von einer Workstation aus wären eben die 3 MMCs, oder besser per Kraftmuschel und den passenden Credentials auf die Zielmaschinen verbinden.
Grüße,
Philip
Drei MMCs aufmachen kommt nicht in Frage, weil der gag beim Tiering ist ja das die jeweiligen Tier-Admins sich auch nur auf dem jeweiligen Server-Tier anmelden KÖNNEN - d.h. eigentlich sollte man wenn man das Tiering ordentlich umsetzt, einem Tier 1 Admin das anmelden auf einem Tier 2 Client VERBIETEN (z.B. via GPOs).
Weil wenn du dich als Tier 0-1 admin auf einem Tier2 Client anmeldest (oder eben als dieser User eine MMC öffnest), landen eben auch deine Passworthashes auf dieser niedrigtierigen Maschine - da kannst gleich dich als Tier 0 domainadmin anmelden
Ich sehe kein Problem darin das müller rechte hat in der Domäne was zu ändern - sofern es nur irgendwelche hilfsattribute sind (irgendwie kommentar und geburtsdatum oder so) - er kann ja von sich auch keine rechteausweitung in der Domäne veranlassen - also: Wird der Account müller kompromittiert, kann der Angreifen also allen Usern ein fieses Kommentar reinmachen - who cares Ansonsten hast du recht: wird dem müller zuviel delegiert, ist es gegen das Prinzip wie es gedacht war und sollte nicht sein.
Daher: dem Tier0-1 Admin lieber eine eigene Workstation ohne Internetzugang und Office installation (wie psanzz schon sagte = PAW)
Ansonsten Grundsätzlich: Franky hatte eine praktikable Anleitung für Tiers:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Weil wenn du dich als Tier 0-1 admin auf einem Tier2 Client anmeldest (oder eben als dieser User eine MMC öffnest), landen eben auch deine Passworthashes auf dieser niedrigtierigen Maschine - da kannst gleich dich als Tier 0 domainadmin anmelden
Ich sehe kein Problem darin das müller rechte hat in der Domäne was zu ändern - sofern es nur irgendwelche hilfsattribute sind (irgendwie kommentar und geburtsdatum oder so) - er kann ja von sich auch keine rechteausweitung in der Domäne veranlassen - also: Wird der Account müller kompromittiert, kann der Angreifen also allen Usern ein fieses Kommentar reinmachen - who cares
Ansonsten hast du recht: wird dem müller zuviel delegiert, ist es gegen das Prinzip wie es gedacht war und sollte nicht sein.Daher: dem Tier0-1 Admin lieber eine eigene Workstation ohne Internetzugang und Office installation (wie psanzz schon sagte = PAW)
Ansonsten Grundsätzlich: Franky hatte eine praktikable Anleitung für Tiers:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
