winacker
Goto Top

AD-Admin mit beschränkten Rechten möglich?

Hallo,
ich möchte einen Mitarbeiter neu einsetzen in der IT-Grundadministration der AD-Umgebung (SRV19++, Exchg.19, VEEAM).
Er soll die klassischen Tages-Dinge eines Admin können, also User-Admin/gucken-ob-Veeam-zickt/Restore_via_Veeam/Sophos-UTM-Admin/..... - also eigentlich klassisch DomAdm
Er soll aber eines nicht können: ein bestimmtes Verzeichnis bzw. dessen Inhalte lesen (GF).
Mir ist nur unklar wie man das machen soll: bekommt er die nötigen DomAdm-Rechte, kann er jeden User kapern und mit dessen Account (wenn bei diesem Account erlaubt wie bei der GF oder dem BackupService-User) in dem GF-DIR lesen - auch wenn ich ihn explizit dort ausperren würde.

Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...


Danke Euch!

Content-ID: 5550390129

Url: https://administrator.de/contentid/5550390129

Printed on: October 6, 2024 at 15:10 o'clock

mininik
mininik May 15, 2024 updated at 14:23:45 (UTC)
Goto Top
Mahlzeit,

da hilft nur eins: Der GF klarmachen, dass das so nicht geht weil wie du richtig sagst, gibts immer einen Weg "drumrum".

Btw. sind die genannten Aufgaben keine klassischen DomAdmin aufgaben. Der DomAdmin wird nur zur Verwaltung der DCs (raufstufen, demote) verwendet und sonst NICHT. Für den Rest wird ein dedizierter Adminuser mit den benötigten Rechten erstellt.
winacker
winacker May 15, 2024 at 14:29:16 (UTC)
Goto Top
mininik, klar du hast recht: dazu braucht es sich keinen DomAdm.
Aber der "dedizierte Adminuser" kommt genauso drumrum.
Mich interessiert einfach, ob ich a. was übersehe wie es gehen könnte und b. wie es in anderen Firmen läuft.
Früher war ich mal DV-Leiter in einer Firma, wo die GF die Löhne der Leitenden auf einem dedizierten Laptop machte der nie am Netz war und nur einmal im Monat aus dem Tresor kam. Das kanns doch aber nicht sein....
Michi91
Michi91 May 15, 2024 at 14:44:40 (UTC)
Goto Top
Der wunderbare Franky hat nen guten Artikel über Admintiering geschrieben. Vielleicht hilft dir das schon weiter. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...

Bei meinem alten AG ließ es sich kaum vermeiden, dass sehr viele Admins auch DomAdmins waren. Es gab daher eine Monitoringsoftware (AD Audit), die alle relevanten Änderungen an der AD protokolliert hat und ggf. bei bestimmten Änderungen auch direkt Alarm beim Management ausgelöst hat.
chiefteddy
chiefteddy May 15, 2024 updated at 16:28:10 (UTC)
Goto Top
Hallo,
relevantes Verzeichnis bzw. relevante Dateien verschlüsseln.
Ohne Schlüssel kein Zugang.

Jürgen

PS. Sicherheit erfordert immer höheren Bedienaufwand. Ist nun mal so.
Vision2015
Vision2015 May 15, 2024 at 17:09:41 (UTC)
Goto Top
Moin...

also wenn ich Veeam kontrolieren darf, kann ich auch ein restore machen face-smile
du kannst das verzeichnis aber verschlüsseln.... und dich selber ums backup kümmern!

Frank
Franz-Josef-II
Franz-Josef-II May 16, 2024 at 05:27:28 (UTC)
Goto Top
Guten Morgen

Eine Verschlüsselung kann nie falsch sein.
canlot
canlot May 16, 2024 at 07:29:10 (UTC)
Goto Top
Da sehe ich nur eine sinnvolle Möglichkeit wenn es kein Weg vorbei geht. Eine separate AD für GF mit unidirektionalem Trust im selben Forest.
Aber wenn man Zugriff auf Veeam hat, kann man natürlich auch was machen, ist aber ungleich schwerer und da muss man schon wirklich böse Absichten haben.
winacker
winacker May 16, 2024 at 07:41:22 (UTC)
Goto Top
Verschlüsselen kam mir auch schon in den Sinn:
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
winacker
winacker May 16, 2024 at 07:41:31 (UTC)
Goto Top
Zitat von @winacker:

Verschlüsseln kam mir auch schon in den Sinn:
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
Michi91
Michi91 May 16, 2024 at 08:39:34 (UTC)
Goto Top
Du könntest einen Bitlocker VHDX Container mit Powershell nutzen.

Musst so eigenttlich nur das PowershellScript bei der Anmeldung ausführen, Passwort abfragen und den Container mounten

Hilfreich könnte diese Anleitung sein: https://www.croix.at/blog/daten-verschlusselt-im-container-speichern/
BitlockerContainer per Powershell als als separates Laufwerk einbinden
MaxCalifornia
MaxCalifornia May 16, 2024 at 09:38:02 (UTC)
Goto Top
Zitat von @winacker:

Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...

Hallo!

Grundsätzlich würde ich mal weg von der Technik gehen und mir die Frage stellen, ob man den Admins Vertrauen schenkt. Admins haben immer einen anderen Stellenwert als der normale Sachbearbeiter der z.B. Angebote erstellt. Es besteht immer ein Weg, sich Zugang zu Informationen zu beschaffen - mal fällt es sofort auf, mal später. Wenn der GF seinen Urlaub beginnt, Passwort ändern, reinschauen, am Ende des Urlaubs hat er anscheinend sein Passwort vergessen ... Kontrolle ist gut, Vertrauen ist besser.

Wird bei euch denn mit einem entsprechenden Rollen- und Rechtekonzept gearbeitet?
Bingo61
Bingo61 May 16, 2024 at 11:11:10 (UTC)
Goto Top
Zitat von @MaxCalifornia:

Zitat von @winacker:

Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...

Nein, gibts nicht.
Ich sehe Daten von allen Kunden und deren Geschäftsführer wenn ich mag, nur es interessiert eigenlich nicht, was da drinn steht. Dann muss er halt seine sensiblen Daten auf eine ext Platte speichern und mit nach Hause nehmen.
Würde sagen, wenn der GF kein Vertrauen in seinen Admin hat, sollte man sich Gedanken machen .. und sich um andere Firma umsehen.
AbstrackterSystemimperator
AbstrackterSystemimperator May 17, 2024 at 11:41:34 (UTC)
Goto Top
Quote from @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!

Servus,
unsere Administratoren bekommen einen erweiterten AV / zusätzlichen AV mit Hinweisen und Klausen dies bezüglich.
In dieser Erweiterung ist der zuständige Admin verpflichtet, doppelte und dreifache Verschwiegenheit zu gewährleisten. Das muss der Admin unterschreiben.
Es ist in der Vergangenheit zu oft vorgekommen, dass der "Ich darf alles Admin", krank oder im Urlaub war und die anderen Admin's nicht helfen konnten. (Bezieht sich jedoch nur auf die unterschiedlichen Standorte).

OT: IMHO ist es mir egal, was ich sehe und was nicht. Ich bin nur da, um meine Arbeit zu erledigen und nicht irgendwelche Mails von der GF, wenn ich mal am Platz bin, zu lesen oder so... aber just my 2 cent.
winacker
winacker May 17, 2024 at 12:18:55 (UTC)
Goto Top
Danke Euch;
war mir fast klar dass dies eine Diskussion in Richtung "Admin ist per se 'unfehlbar' und nie neugierig und vertraulich sowieso" auslösen würde face-wink
Aber die Realität ist nicht überall so ideal und Gelegenheit macht Diebe - warum also die Versuchung offen feilbieten?
---
Meine Sammlung möglicher Lösungen:
Krypting aller Art kann ich ausschließen, geht nicht im Netz mit mehreren Usern zugleich und ich trau dem Geraffel nie zu 100% obs nicht doch irgendwann behauptet "Passwort falsch".
Es bleibt:
a. entweder Dateien selber verschlüsseln mit z.B. MS-Bordmitteln
b. Ein DIR einrichten wo keiner ausser der GF rein darf und der muß sich ums Backup selber kümmern (irgendwas mit ext. HDD und Acronis)

Schöne Pfingsttage euch