8
Active Directory - Domänen-Administrator Absicherung
Abend.
Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.
1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?
2. Auf den Workstations wird die Domain-Admins Gruppe automatisch zu den Administratoren hinzugefügt, sobald der Rechner in die Domäne hinzugefügt wird. Wie kann denn verhindern, dass die Domain-Admins Gruppe auf jedem Rechner erscheint? Weil so würde es ja erlauben, dass sich jeder Domain Admin auf einer Workstation anmelden kann.
Danke euch.
Grüße
Estefania
Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.
1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?
2. Auf den Workstations wird die Domain-Admins Gruppe automatisch zu den Administratoren hinzugefügt, sobald der Rechner in die Domäne hinzugefügt wird. Wie kann denn verhindern, dass die Domain-Admins Gruppe auf jedem Rechner erscheint? Weil so würde es ja erlauben, dass sich jeder Domain Admin auf einer Workstation anmelden kann.
Danke euch.
Grüße
Estefania
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 796339765
Url: https://administrator.de/contentid/796339765
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Du könntest damit schon anfangen, dass das Administrator gar nicht Administrator heißt. Im nächsten Schritt wird nicht mit dem Domänen-Administrator gearbeitet. Egal wo, wenn nicht zwingend notwendig.
Dass der User nicht Administrator heisst, ist schon klar.
Aber ganz auf die Anmeldung kann man auch nicht verzichten.
z.B. um GPOs zu bearbeiten, denn standardmässig hat keiner drauf Zugriff.
Man müsste jedem Gruppenrichtlinienobjekt eine Berechtigung hinzufügen, denn vererben lässt es sich nicht.
Aber das war nicht unbedingt die Antwort auf meine Frage.
Danke trotzdem
Aber ganz auf die Anmeldung kann man auch nicht verzichten.
z.B. um GPOs zu bearbeiten, denn standardmässig hat keiner drauf Zugriff.
Man müsste jedem Gruppenrichtlinienobjekt eine Berechtigung hinzufügen, denn vererben lässt es sich nicht.
Aber das war nicht unbedingt die Antwort auf meine Frage.
Danke trotzdem
Moin,
wenn due den Admins nicht vertraust, dann darfst du sie nicht zum Domain-Admin machen, ganz einfach.
Im AD kannst du Rechte delegieren. D.h. du kannst Usern (oder bessser Gruppen) Rechte auf OUs und deren Unterobjekte geben.
Und du kannst per GPO AD-Gruppen zu lokalen Gruppen hinzufügen, um Rechte auf PCs oder Servern zu vergeben.
usw.
lg,
Slainte
wenn due den Admins nicht vertraust, dann darfst du sie nicht zum Domain-Admin machen, ganz einfach.
Im AD kannst du Rechte delegieren. D.h. du kannst Usern (oder bessser Gruppen) Rechte auf OUs und deren Unterobjekte geben.
Und du kannst per GPO AD-Gruppen zu lokalen Gruppen hinzufügen, um Rechte auf PCs oder Servern zu vergeben.
usw.
lg,
Slainte
Hallo,
ich verstehe @Estefania so, dass sich die vorhandenen Administratoren-Konten innerhalb des ADs ausschließlich auf den DC(s) anmelden sollen dürfen und an keine Workstation, sowie nur auf eine begrenzte Anzahl an DC(s) (gleichzeitig?). Und sofern sich ein Domänen-Admin an eine Workstation anmeldet, soll dieser nicht direkt die vollen administrativen Rechte auf diesem System bekommen.
Aber ganz habe ich den Sinn noch nicht verstanden, warum sich kein Domänen-Admin auf einer WS anmelden sollen darf. Oder hat der Mitarbeiter lediglich ein Konto, was Domänenweite Admin Rechte hat? Falls ja -> Kontentrennung: Arbeitskonto (Standarduser ohne zusätliche Rechte) und ein weiteres Benutzerkonto für administrative Zwecke.
ich verstehe @Estefania so, dass sich die vorhandenen Administratoren-Konten innerhalb des ADs ausschließlich auf den DC(s) anmelden sollen dürfen und an keine Workstation, sowie nur auf eine begrenzte Anzahl an DC(s) (gleichzeitig?). Und sofern sich ein Domänen-Admin an eine Workstation anmeldet, soll dieser nicht direkt die vollen administrativen Rechte auf diesem System bekommen.
Aber ganz habe ich den Sinn noch nicht verstanden, warum sich kein Domänen-Admin auf einer WS anmelden sollen darf. Oder hat der Mitarbeiter lediglich ein Konto, was Domänenweite Admin Rechte hat? Falls ja -> Kontentrennung: Arbeitskonto (Standarduser ohne zusätliche Rechte) und ein weiteres Benutzerkonto für administrative Zwecke.
Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.
1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?
1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?
Also soll so etwas wie das MIM PAM System von Microsoft implementiert werden?
Der Domänen-Admin soll sich nicht auf einer Workstation anmelden können, denn hierfür gibt es schon eine andere Gruppe dafür, deren Mitglieder automatisch Admins auf den Rechnern werden (kommt per GPO)
Hi
Schau dir das mal an:
https://www.google.de/amp/s/www.frankysweb.de/einfache-massnahmen-fuer-m ...
Und wenn du damit weiter machst überleg die Einführung von MS Laps für einen lokalen User sofern vorhanden.
Mit freundlichen Grüßen Nemesis
Schau dir das mal an:
https://www.google.de/amp/s/www.frankysweb.de/einfache-massnahmen-fuer-m ...
Und wenn du damit weiter machst überleg die Einführung von MS Laps für einen lokalen User sofern vorhanden.
Mit freundlichen Grüßen Nemesis
Moin,
für beide Punkte 1) und 2) etwas Lesestoff für die Grundlagen und Aufbau des Verständnisses für Sicherheit im Active Directory:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.msxfaq.de/windows/sicherheit/tier_012_security.htm
https://docs.microsoft.com/de-de/security/compass/privileged-access-acce ...
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
https://ernw.de/download/ERNW_ISH_Conference_2019_AD_Security_BP.pdf
Es ist kein Thema dass du zwischen Frühstück und Feierabend abhandeln kannst. Aus Erfahrung liegt der zeitliche Aufwand im Schnitt bei solchen Projekten bei 30-40 Manntage. Die Maßnahmen für ein sicheres AD sind meist erst einmal von organisatorischen Vorbereitungen, Maßnahmen geprägt. Die technische Umsetzung ist dazu im Vergleich zeitnah erledigt. Daher nichts überstürzten sondern in Ruhe planen, testen, dokumentieren.
Gruß,
Dani
für beide Punkte 1) und 2) etwas Lesestoff für die Grundlagen und Aufbau des Verständnisses für Sicherheit im Active Directory:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.msxfaq.de/windows/sicherheit/tier_012_security.htm
https://docs.microsoft.com/de-de/security/compass/privileged-access-acce ...
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
https://ernw.de/download/ERNW_ISH_Conference_2019_AD_Security_BP.pdf
Es ist kein Thema dass du zwischen Frühstück und Feierabend abhandeln kannst. Aus Erfahrung liegt der zeitliche Aufwand im Schnitt bei solchen Projekten bei 30-40 Manntage. Die Maßnahmen für ein sicheres AD sind meist erst einmal von organisatorischen Vorbereitungen, Maßnahmen geprägt. Die technische Umsetzung ist dazu im Vergleich zeitnah erledigt. Daher nichts überstürzten sondern in Ruhe planen, testen, dokumentieren.
Gruß,
Dani
1
