11
Domain-User als lokaler Admin ?
Ich habe folgende Frage !
Der Domain-administrator arbeitet an seinem PC als "normaler" User.....ohne Admin-Rechte !
Das ist auch Okay so !
Auf den Clients ist dieser Domain-User aber in der lokalen Gruppe der Administratoren eingetragen !
Gibt es hier Sicherheitsbedénken, oder ist das unkritisch ?
Danke für eine Antwort und Gruß
Thommy8863
Der Domain-administrator arbeitet an seinem PC als "normaler" User.....ohne Admin-Rechte !
Das ist auch Okay so !
Auf den Clients ist dieser Domain-User aber in der lokalen Gruppe der Administratoren eingetragen !
Gibt es hier Sicherheitsbedénken, oder ist das unkritisch ?
Danke für eine Antwort und Gruß
Thommy8863
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 87549
Url: https://administrator.de/contentid/87549
Printed on: April 20, 2024 at 03:04 o'clock
11 Comments
Latest comment
Ich wüßte nicht was dagegen spricht wenn der Domänen-User gleichzeitig Domänen-Admin ist und die Rechner verwaltet!!! Er ist eben der Verwalter der Domäne.
Das Einzige was ich ein bisschen komisch finde ist das der Domänen-Admin auf seinen eigenen Rechner KEINE Administrator Rechte haben darf, aber woanders ja.
Das Einzige was ich ein bisschen komisch finde ist das der Domänen-Admin auf seinen eigenen Rechner KEINE Administrator Rechte haben darf, aber woanders ja.
Na Ja !!!!
In jedem Administrator-Handbuch wird es als Totsünde bezeichnet, wenn der Admin an seinem PC mit Administrator-Rechten arbeitet !!!! Das sehe ich auch so ! Jeglicher Schadcode, kann ungehinder "Besitz" von der Maschine ergreifen !
Nun arbeitet er nicht als lokaler Admin......und das ist gut so ! Aber er hat auf den Clients in der Domöne mit seinem Account "Admin-Rechte", wie ist das von der Sicherheit zu bewerten ? .....was passiert, wenn Schadcode (Virus, Wurm, etc.) den Admin-PC bedroht, diesen aber mangels Admin-Rechte nicht "verseuchen" kann.....was passiert wenn der Admin in dieser "Phase" mit "Admin-Rechte" auf die Clients zugreift....z.B. über \\Ip-Adresse\c$ ????
Gruß
Thommy8863
In jedem Administrator-Handbuch wird es als Totsünde bezeichnet, wenn der Admin an seinem PC mit Administrator-Rechten arbeitet !!!! Das sehe ich auch so ! Jeglicher Schadcode, kann ungehinder "Besitz" von der Maschine ergreifen !
Nun arbeitet er nicht als lokaler Admin......und das ist gut so ! Aber er hat auf den Clients in der Domöne mit seinem Account "Admin-Rechte", wie ist das von der Sicherheit zu bewerten ? .....was passiert, wenn Schadcode (Virus, Wurm, etc.) den Admin-PC bedroht, diesen aber mangels Admin-Rechte nicht "verseuchen" kann.....was passiert wenn der Admin in dieser "Phase" mit "Admin-Rechte" auf die Clients zugreift....z.B. über \\Ip-Adresse\c$ ????
Gruß
Thommy8863
In jedem Administrator-Handbuch wird es als
Totsünde bezeichnet, wenn der Admin an
seinem PC mit Administrator-Rechten arbeitet
!!!! Das sehe ich auch so ! Jeglicher
Schadcode, kann ungehinder "Besitz"
von der Maschine ergreifen !
Totsünde bezeichnet, wenn der Admin an
seinem PC mit Administrator-Rechten arbeitet
!!!! Das sehe ich auch so ! Jeglicher
Schadcode, kann ungehinder "Besitz"
von der Maschine ergreifen !
Naja, kann man sehen wie man will! Ob er jetzt an seinem Pc mit Adminrechten arbeitet, oder auf andere Rechner Administrationsrechte hat, ist Jacke wie Hose. Da kommt das Gleiche bei raus!
Ich schätze mal das jemand der Domänen-Admin ist, weiß wie er sich vor Viren etc. schützt und das Netzwerk absichert.
Du solltest besser einen separaten DOmänen-User anlegen, der NUR zum administrieren der Rechner dient und für sonst nichts anderes ( täglicher Benutzer, eines Clients ) benutzt wird. Aber auch hier wieder das Problem von oben.....Weißt Du, was sich auf den REchner rumtreibt ohne lokalen PC Schutz und wartet, das sich jemand mit Adminrechten anmeldet?
Bei mir hier im Netzwerk haben wir auch Domänen-Administratoren, die normale Domänen-User sind und per gpo in die lokalen Admingruppen hinzugefügt werden.
Das hat bis jetzt keine Probleme gegeben. Es kommt immer auf das Gesammtkonzept eines Netzwerkes an.
Nun arbeitet er nicht als lokaler
Admin......und das ist gut so ! Aber er
hat auf den Clients in der Domöne mit
seinem Account "Admin-Rechte", wie
ist das von der Sicherheit zu bewerten ?
Admin......und das ist gut so ! Aber er
hat auf den Clients in der Domöne mit
seinem Account "Admin-Rechte", wie
ist das von der Sicherheit zu bewerten ?
Siehe meine Antwort oben!
.....was passiert, wenn Schadcode (Virus,
Wurm, etc.) den Admin-PC bedroht, diesen aber
mangels Admin-Rechte nicht
"verseuchen" kann.....was passiert
wenn der Admin in dieser "Phase"
mit "Admin-Rechte" auf die Clients
zugreift....z.B. über \\Ip-Adresse\c$
Wurm, etc.) den Admin-PC bedroht, diesen aber
mangels Admin-Rechte nicht
"verseuchen" kann.....was passiert
wenn der Admin in dieser "Phase"
mit "Admin-Rechte" auf die Clients
zugreift....z.B. über \\Ip-Adresse\c$
Wenn Du im Netzwerk eine anständigen Virenscanner laufen hast, sollte da NICHTS passieren! Dieser würde die Verbreitung verhindern.
????
Gruß
Thommy8863
Gruß
Thommy8863
Ich finde die Frage ist noch nicht beantwortet......
Ist es ein Sicherheitsrisiko, wenn er als User in den lokalen Gruppe der Administratoren eingetragen ist ? Dieses ist die Streitfrage in unserer Firma !
Kann ein Schadcode, - der mangels fehlender Admin-Rechte den Administrator-PC bedroht aber nicht beeinflussen kann, aufgrund einer Verbindung zu einem anderen PC über die Administrative Freigabe (c$) diesen Beeinflussen ? Ja, oder nein....ist hier die Streitfrage !
Gruß und Danke für eine Antwort
Thommy8863
Ist es ein Sicherheitsrisiko, wenn er als User in den lokalen Gruppe der Administratoren eingetragen ist ? Dieses ist die Streitfrage in unserer Firma !
Kann ein Schadcode, - der mangels fehlender Admin-Rechte den Administrator-PC bedroht aber nicht beeinflussen kann, aufgrund einer Verbindung zu einem anderen PC über die Administrative Freigabe (c$) diesen Beeinflussen ? Ja, oder nein....ist hier die Streitfrage !
Gruß und Danke für eine Antwort
Thommy8863
Ich finde die Frage ist noch nicht
beantwortet......
Ist es ein Sicherheitsrisiko, wenn er als
User in den lokalen Gruppe der
Administratoren eingetragen ist ? Dieses ist
die Streitfrage in unserer Firma !
beantwortet......
Ist es ein Sicherheitsrisiko, wenn er als
User in den lokalen Gruppe der
Administratoren eingetragen ist ? Dieses ist
die Streitfrage in unserer Firma !
Wenn Du nicht zwischen den Zeilen lesen kannst, dann hier mal ganz einfach: JA!
Kann ein Schadcode, - der mangels fehlender
Admin-Rechte den Administrator-PC bedroht
aber nicht beeinflussen kann, aufgrund einer
Verbindung zu einem anderen PC über die
Administrative Freigabe (c$) diesen
Beeinflussen ? Ja, oder nein....ist hier die
Streitfrage !
Kommt auf den Schadcode an, also wie er programmiert ist!
Hallo!
Ja, ist es!
Begründung: Angenommen ein Schadcode wird auf dem PC des Admins in seinem Benutzerkontext ausgeführt (als normaler User) und der verbreitet sich, wie auch immer, über das Netzwerk, dann wird er auf den anderen PCs auch im Benutzerkontext dieses Users ausgeführt. Auf den anderen PC hat er dann Adminrechte....wobei das aber sehr hypothetisch ist, denn die meisten Schädlinge benötigen heut zu tage keine Adminrechte mehr um sich zu "installieren" und zu verbreiten.
Wobei ist sagen muß, das Rechtekonzept bei euch ist da schon, sagen wir mal, ungewöhnlich. Ersten vergibt man grundsätzlich keine Rechte an User, sondern immer an Gruppen. Und dann zu sagen der User hat überall Adminrechte und nur auf dem einen PC nicht.....merkwürdige Denkart, würde ich sagen....
Ist es ein Sicherheitsrisiko, wenn er als
User in den lokalen Gruppe der
Administratoren eingetragen ist ? Dieses ist
die Streitfrage in unserer Firma !
User in den lokalen Gruppe der
Administratoren eingetragen ist ? Dieses ist
die Streitfrage in unserer Firma !
Ja, ist es!
Kann ein Schadcode, - der mangels fehlender
Admin-Rechte den Administrator-PC bedroht
aber nicht beeinflussen kann, aufgrund einer
Verbindung zu einem anderen PC über die
Administrative Freigabe (c$) diesen
Beeinflussen ? Ja, oder nein....ist hier die
Streitfrage !
Admin-Rechte den Administrator-PC bedroht
aber nicht beeinflussen kann, aufgrund einer
Verbindung zu einem anderen PC über die
Administrative Freigabe (c$) diesen
Beeinflussen ? Ja, oder nein....ist hier die
Streitfrage !
Begründung: Angenommen ein Schadcode wird auf dem PC des Admins in seinem Benutzerkontext ausgeführt (als normaler User) und der verbreitet sich, wie auch immer, über das Netzwerk, dann wird er auf den anderen PCs auch im Benutzerkontext dieses Users ausgeführt. Auf den anderen PC hat er dann Adminrechte....wobei das aber sehr hypothetisch ist, denn die meisten Schädlinge benötigen heut zu tage keine Adminrechte mehr um sich zu "installieren" und zu verbreiten.
Wobei ist sagen muß, das Rechtekonzept bei euch ist da schon, sagen wir mal, ungewöhnlich. Ersten vergibt man grundsätzlich keine Rechte an User, sondern immer an Gruppen. Und dann zu sagen der User hat überall Adminrechte und nur auf dem einen PC nicht.....merkwürdige Denkart, würde ich sagen....
Hallo,
die meisten Schädlinge befallen zwar den lokalen Rechner (das ist meistens Aussichtsreicher als es auf anderen zu probieren), aber mit "den meisten" ist es ja nicht unbedingt getan.
Als Domänen-Admin (oder auch als Schädling in dessem Nutzerkontext) kann man ganz komfortabel auf anderen Rechner Dienste installieren, ausführen, beenden... nur als Beispiel. Dazu braucht man auch auf dem lokalen Rechner keinerlei Rechte.
Halt nein: Streng genommen kann man als Mitglied der Domänen-Admin-Gruppe relativ wenig, die Gruppe ist nämlich nur bei wenigen Berechtigungen eingetragen. Aber: Die Domänen-Admin-Gruppe ist meistens Mitglied der lokalen Administratoren, womit man dann die ganzen Scherze veranstalten kann.
Daher auch meine Frage: Bist du dir _sicher_, dass der Nutzer auf dem eigenen PC kein Admin ist? Wie habt ihr das Sichergestellt?
Das Problem, wenn man die Domain-Admins aus den lokalen Admins entfernt ist, dass es dann passieren kann, das man irgendwan gar keinen Admin-Account mehr hat (außer dem lokalen, dessen Kennwort niemand mehr kennt).
Gruß
Filipp
die meisten Schädlinge befallen zwar den lokalen Rechner (das ist meistens Aussichtsreicher als es auf anderen zu probieren), aber mit "den meisten" ist es ja nicht unbedingt getan.
Als Domänen-Admin (oder auch als Schädling in dessem Nutzerkontext) kann man ganz komfortabel auf anderen Rechner Dienste installieren, ausführen, beenden... nur als Beispiel. Dazu braucht man auch auf dem lokalen Rechner keinerlei Rechte.
Halt nein: Streng genommen kann man als Mitglied der Domänen-Admin-Gruppe relativ wenig, die Gruppe ist nämlich nur bei wenigen Berechtigungen eingetragen. Aber: Die Domänen-Admin-Gruppe ist meistens Mitglied der lokalen Administratoren, womit man dann die ganzen Scherze veranstalten kann.
Daher auch meine Frage: Bist du dir _sicher_, dass der Nutzer auf dem eigenen PC kein Admin ist? Wie habt ihr das Sichergestellt?
Das Problem, wenn man die Domain-Admins aus den lokalen Admins entfernt ist, dass es dann passieren kann, das man irgendwan gar keinen Admin-Account mehr hat (außer dem lokalen, dessen Kennwort niemand mehr kennt).
Gruß
Filipp
Das Rechtekomnzept stammt nicht aus unserer Firma, es wurde so bei einem Kunden vorgefunden den wir betreuen.
Die Rechte sind ja auch der Grupe "lokale Administratoren" zugewiesen.
Nochmal : der Administrator der Firma hat an seinen PC über seinen Account keine Admin-Rechte. Er hat sich aber auf seinen 30 Clients die er an anderen Standorten betreut, mit "diesem normalen Benutzeraccount" in die jeweilige lokale Gruppe der Administratoren auf den PC eingetragen. Er versprach sich komfortabels Administrieren dadurch !
Ich halte das für ein gefährliches Handeln und sehe das als Sicherheitsrisiko ! Ein paar kollegen in meiner Firma widersprechen dem und teilen meiner Geschäftsleitung mit, dass das garnicht so schlimm wäre ! Für mich wäre es hilfreich, wenn jemand von Euch, irgendeine Dokumentation (wo draus hervorgeht das es ein Sicherheitsrisiko ist !) darüber kennen würde, die man zitieren könnte !
Aber auf alle Fälle möchte ich mich für eure bisherigen Antworten ganz herzlich bedanken !
MFG
Thommy8863
Die Rechte sind ja auch der Grupe "lokale Administratoren" zugewiesen.
Nochmal : der Administrator der Firma hat an seinen PC über seinen Account keine Admin-Rechte. Er hat sich aber auf seinen 30 Clients die er an anderen Standorten betreut, mit "diesem normalen Benutzeraccount" in die jeweilige lokale Gruppe der Administratoren auf den PC eingetragen. Er versprach sich komfortabels Administrieren dadurch !
Ich halte das für ein gefährliches Handeln und sehe das als Sicherheitsrisiko ! Ein paar kollegen in meiner Firma widersprechen dem und teilen meiner Geschäftsleitung mit, dass das garnicht so schlimm wäre ! Für mich wäre es hilfreich, wenn jemand von Euch, irgendeine Dokumentation (wo draus hervorgeht das es ein Sicherheitsrisiko ist !) darüber kennen würde, die man zitieren könnte !
Aber auf alle Fälle möchte ich mich für eure bisherigen Antworten ganz herzlich bedanken !
MFG
Thommy8863
Ein paar kollegen in meiner Firma
widersprechen dem und teilen meiner
Geschäftsleitung mit, dass das garnicht
so schlimm wäre !
Weniger schlimm als Admin-Rechte am lokalen System dürfte stimmen, weil die meisten Angriffe wohl auf den lokalen Rechner erfolgen werden.widersprechen dem und teilen meiner
Geschäftsleitung mit, dass das garnicht
so schlimm wäre !
Für mich
wäre es hilfreich, wenn jemand von Euch,
irgendeine Dokumentation (wo draus hervorgeht
das es ein Sicherheitsrisiko ist !)
darüber kennen würde, die man
zitieren könnte !
Wie wär's mit einer Demonstration? Habt ihr einen Virenscanner, dessen Dienst ein normaler Nutzer nicht beenden kann, der Admin aber schon (der sich dann nicht innert 2 Sek neu startet)? Dann zeig doch einfach, dass ein Schädling auf deinem Rechner den Virenscanner aller PCs im Netz abschalten kann. "sc \\demo-pc stop Dienstname". Dabei macht man noch nichts kaputt. Wenn man's drastischer mag kann man mit psexec die Platte im Demorechner formatieren. Das ganze kann man ja dann noch in eine Batch-Datei packen, als "wichtige Mitteilung der Geschäftsführung - sofort lesen.bat" benennen und an eine eMail hängen um plausibel zu machen, dass man sowas schonmal aus versehen ausführen kann.wäre es hilfreich, wenn jemand von Euch,
irgendeine Dokumentation (wo draus hervorgeht
das es ein Sicherheitsrisiko ist !)
darüber kennen würde, die man
zitieren könnte !
Gruß
Filipp
hi ich habe mal gelesen dass man bei "lusrmgr" unter Ausführen was machen kann aber ich bin mir nicht so ganz sicher.
Zitat von @filippg:
> Ein paar kollegen in meiner Firma
> widersprechen dem und teilen meiner
> Geschäftsleitung mit, dass das garnicht
> so schlimm wäre !
Weniger schlimm als Admin-Rechte am lokalen System dürfte
stimmen, weil die meisten Angriffe wohl auf den lokalen Rechner
erfolgen werden.
> Für mich
> wäre es hilfreich, wenn jemand von Euch,
> irgendeine Dokumentation (wo draus hervorgeht
> das es ein Sicherheitsrisiko ist !)
> darüber kennen würde, die man
> zitieren könnte !
Wie wär's mit einer Demonstration? Habt ihr einen
Virenscanner, dessen Dienst ein normaler Nutzer nicht beenden kann,
der Admin aber schon (der sich dann nicht innert 2 Sek neu startet)?
Dann zeig doch einfach, dass ein Schädling auf deinem Rechner den
Virenscanner aller PCs im Netz abschalten kann. "sc \\demo-pc
stop Dienstname". Dabei macht man noch nichts kaputt. Wenn
man's drastischer mag kann man mit psexec die Platte im
Demorechner formatieren. Das ganze kann man ja dann noch in eine
Batch-Datei packen, als "wichtige Mitteilung der
Geschäftsführung - sofort lesen.bat" benennen und an
eine eMail hängen um plausibel zu machen, dass man sowas schonmal
aus versehen ausführen kann.
Gruß
Filipp
> Ein paar kollegen in meiner Firma
> widersprechen dem und teilen meiner
> Geschäftsleitung mit, dass das garnicht
> so schlimm wäre !
Weniger schlimm als Admin-Rechte am lokalen System dürfte
stimmen, weil die meisten Angriffe wohl auf den lokalen Rechner
erfolgen werden.
> Für mich
> wäre es hilfreich, wenn jemand von Euch,
> irgendeine Dokumentation (wo draus hervorgeht
> das es ein Sicherheitsrisiko ist !)
> darüber kennen würde, die man
> zitieren könnte !
Wie wär's mit einer Demonstration? Habt ihr einen
Virenscanner, dessen Dienst ein normaler Nutzer nicht beenden kann,
der Admin aber schon (der sich dann nicht innert 2 Sek neu startet)?
Dann zeig doch einfach, dass ein Schädling auf deinem Rechner den
Virenscanner aller PCs im Netz abschalten kann. "sc \\demo-pc
stop Dienstname". Dabei macht man noch nichts kaputt. Wenn
man's drastischer mag kann man mit psexec die Platte im
Demorechner formatieren. Das ganze kann man ja dann noch in eine
Batch-Datei packen, als "wichtige Mitteilung der
Geschäftsführung - sofort lesen.bat" benennen und an
eine eMail hängen um plausibel zu machen, dass man sowas schonmal
aus versehen ausführen kann.
Gruß
Filipp
