AD-Admin mit beschränkten Rechten möglich?
Hallo,
ich möchte einen Mitarbeiter neu einsetzen in der IT-Grundadministration der AD-Umgebung (SRV19++, Exchg.19, VEEAM).
Er soll die klassischen Tages-Dinge eines Admin können, also User-Admin/gucken-ob-Veeam-zickt/Restore_via_Veeam/Sophos-UTM-Admin/..... - also eigentlich klassisch DomAdm
Er soll aber eines nicht können: ein bestimmtes Verzeichnis bzw. dessen Inhalte lesen (GF).
Mir ist nur unklar wie man das machen soll: bekommt er die nötigen DomAdm-Rechte, kann er jeden User kapern und mit dessen Account (wenn bei diesem Account erlaubt wie bei der GF oder dem BackupService-User) in dem GF-DIR lesen - auch wenn ich ihn explizit dort ausperren würde.
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
ich möchte einen Mitarbeiter neu einsetzen in der IT-Grundadministration der AD-Umgebung (SRV19++, Exchg.19, VEEAM).
Er soll die klassischen Tages-Dinge eines Admin können, also User-Admin/gucken-ob-Veeam-zickt/Restore_via_Veeam/Sophos-UTM-Admin/..... - also eigentlich klassisch DomAdm
Er soll aber eines nicht können: ein bestimmtes Verzeichnis bzw. dessen Inhalte lesen (GF).
Mir ist nur unklar wie man das machen soll: bekommt er die nötigen DomAdm-Rechte, kann er jeden User kapern und mit dessen Account (wenn bei diesem Account erlaubt wie bei der GF oder dem BackupService-User) in dem GF-DIR lesen - auch wenn ich ihn explizit dort ausperren würde.
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Please also mark the comments that contributed to the solution of the article
Content-ID: 5550390129
Url: https://administrator.de/contentid/5550390129
Printed on: October 6, 2024 at 15:10 o'clock
14 Comments
Latest comment
Mahlzeit,
da hilft nur eins: Der GF klarmachen, dass das so nicht geht weil wie du richtig sagst, gibts immer einen Weg "drumrum".
Btw. sind die genannten Aufgaben keine klassischen DomAdmin aufgaben. Der DomAdmin wird nur zur Verwaltung der DCs (raufstufen, demote) verwendet und sonst NICHT. Für den Rest wird ein dedizierter Adminuser mit den benötigten Rechten erstellt.
da hilft nur eins: Der GF klarmachen, dass das so nicht geht weil wie du richtig sagst, gibts immer einen Weg "drumrum".
Btw. sind die genannten Aufgaben keine klassischen DomAdmin aufgaben. Der DomAdmin wird nur zur Verwaltung der DCs (raufstufen, demote) verwendet und sonst NICHT. Für den Rest wird ein dedizierter Adminuser mit den benötigten Rechten erstellt.
Der wunderbare Franky hat nen guten Artikel über Admintiering geschrieben. Vielleicht hilft dir das schon weiter. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Bei meinem alten AG ließ es sich kaum vermeiden, dass sehr viele Admins auch DomAdmins waren. Es gab daher eine Monitoringsoftware (AD Audit), die alle relevanten Änderungen an der AD protokolliert hat und ggf. bei bestimmten Änderungen auch direkt Alarm beim Management ausgelöst hat.
Bei meinem alten AG ließ es sich kaum vermeiden, dass sehr viele Admins auch DomAdmins waren. Es gab daher eine Monitoringsoftware (AD Audit), die alle relevanten Änderungen an der AD protokolliert hat und ggf. bei bestimmten Änderungen auch direkt Alarm beim Management ausgelöst hat.
Du könntest einen Bitlocker VHDX Container mit Powershell nutzen.
Musst so eigenttlich nur das PowershellScript bei der Anmeldung ausführen, Passwort abfragen und den Container mounten
Hilfreich könnte diese Anleitung sein: https://www.croix.at/blog/daten-verschlusselt-im-container-speichern/
BitlockerContainer per Powershell als als separates Laufwerk einbinden
Musst so eigenttlich nur das PowershellScript bei der Anmeldung ausführen, Passwort abfragen und den Container mounten
Hilfreich könnte diese Anleitung sein: https://www.croix.at/blog/daten-verschlusselt-im-container-speichern/
BitlockerContainer per Powershell als als separates Laufwerk einbinden
Zitat von @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Hallo!
Grundsätzlich würde ich mal weg von der Technik gehen und mir die Frage stellen, ob man den Admins Vertrauen schenkt. Admins haben immer einen anderen Stellenwert als der normale Sachbearbeiter der z.B. Angebote erstellt. Es besteht immer ein Weg, sich Zugang zu Informationen zu beschaffen - mal fällt es sofort auf, mal später. Wenn der GF seinen Urlaub beginnt, Passwort ändern, reinschauen, am Ende des Urlaubs hat er anscheinend sein Passwort vergessen ... Kontrolle ist gut, Vertrauen ist besser.
Wird bei euch denn mit einem entsprechenden Rollen- und Rechtekonzept gearbeitet?
Zitat von @MaxCalifornia:
Zitat von @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Nein, gibts nicht.
Ich sehe Daten von allen Kunden und deren Geschäftsführer wenn ich mag, nur es interessiert eigenlich nicht, was da drinn steht. Dann muss er halt seine sensiblen Daten auf eine ext Platte speichern und mit nach Hause nehmen.
Würde sagen, wenn der GF kein Vertrauen in seinen Admin hat, sollte man sich Gedanken machen .. und sich um andere Firma umsehen.
Quote from @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Servus,
unsere Administratoren bekommen einen erweiterten AV / zusätzlichen AV mit Hinweisen und Klausen dies bezüglich.
In dieser Erweiterung ist der zuständige Admin verpflichtet, doppelte und dreifache Verschwiegenheit zu gewährleisten. Das muss der Admin unterschreiben.
Es ist in der Vergangenheit zu oft vorgekommen, dass der "Ich darf alles Admin", krank oder im Urlaub war und die anderen Admin's nicht helfen konnten. (Bezieht sich jedoch nur auf die unterschiedlichen Standorte).
OT: IMHO ist es mir egal, was ich sehe und was nicht. Ich bin nur da, um meine Arbeit zu erledigen und nicht irgendwelche Mails von der GF, wenn ich mal am Platz bin, zu lesen oder so... aber just my 2 cent.