5
AD Gruppe der Domänen-Admins überwachen
Hallo zusammen,
ich stehe gerade in meiner Firma vor einer Herkules-Aufgabe.
Unser derzeitges AD ist ein Kuddelmuddel vor dem Herrn. Einfach so ein neues auf der "grünen Wiese" erstellen geht leider
nicht so einfach, da die Abhängigkeiten so groß sind dass ich damit auf Jahre beschäftigt wäre.
Aktuell ist es so, dass zu viele Mitarbeiter deligierte Rechte im AD haben und somit auch enstprechende Gruppenmitgliedschaften
verwalten können.
Es geht sogar so weit, dass ein Nichtmitlgied der Dom-Admin-Gruppe sich selbst in diese aufnehmen kann.
Da bin ich gestern fast vom glauben abgefallen, als ich das gesehen habe. War sprachlos.....
Das will ich so schnell wie möglich ändern. Das alles ähnelt eher einem Kampf gegen Windmühlen.
Schlussendlich möchte ich die Recht sehr granular vergeben. Insbesondere in die Gruppe der Dom-Admins
soll ein Benutzer nur noch aufgenommen werden können, wenn der Benutzer der das tut auch selbst in der Gruppe ist.
Die Anzahl der User in dieser hochsensiblben Gruppe soll auch beschränkt sein.
So weit, so gut. Aber vertrauen ist gut. Kontrolle ist besser.
Wie aber kann ich es anstellen, das ich diese AD-Gruppe überwachen kann.
Sprich ich brauche ein "Überwachungsinstrument", damit ich sehen kann (am besten per E-Mail benachrichtigt werde)
wer neu in diese Gruppe aufgenommen wurde, wer Änderungen gemacht hat etc...
Ja, es gibt hierfür Spezialanwendungen (Change-Auditing) - das soll auch irgendwann mal kommen (am Sankt Nimmerleinstag),
aber ich brauche etwas, damit ich nicht ganz Informationslos im Nebel rumrenne.
Hat jemand eine Idee?
Kann man so was über eine GPO machen?
Wäre über Hinweise sehr dankbar.
VG
Thorsten
ich stehe gerade in meiner Firma vor einer Herkules-Aufgabe.
Unser derzeitges AD ist ein Kuddelmuddel vor dem Herrn. Einfach so ein neues auf der "grünen Wiese" erstellen geht leider
nicht so einfach, da die Abhängigkeiten so groß sind dass ich damit auf Jahre beschäftigt wäre.
Aktuell ist es so, dass zu viele Mitarbeiter deligierte Rechte im AD haben und somit auch enstprechende Gruppenmitgliedschaften
verwalten können.
Es geht sogar so weit, dass ein Nichtmitlgied der Dom-Admin-Gruppe sich selbst in diese aufnehmen kann.
Da bin ich gestern fast vom glauben abgefallen, als ich das gesehen habe. War sprachlos.....
Das will ich so schnell wie möglich ändern. Das alles ähnelt eher einem Kampf gegen Windmühlen.
Schlussendlich möchte ich die Recht sehr granular vergeben. Insbesondere in die Gruppe der Dom-Admins
soll ein Benutzer nur noch aufgenommen werden können, wenn der Benutzer der das tut auch selbst in der Gruppe ist.
Die Anzahl der User in dieser hochsensiblben Gruppe soll auch beschränkt sein.
So weit, so gut. Aber vertrauen ist gut. Kontrolle ist besser.
Wie aber kann ich es anstellen, das ich diese AD-Gruppe überwachen kann.
Sprich ich brauche ein "Überwachungsinstrument", damit ich sehen kann (am besten per E-Mail benachrichtigt werde)
wer neu in diese Gruppe aufgenommen wurde, wer Änderungen gemacht hat etc...
Ja, es gibt hierfür Spezialanwendungen (Change-Auditing) - das soll auch irgendwann mal kommen (am Sankt Nimmerleinstag),
aber ich brauche etwas, damit ich nicht ganz Informationslos im Nebel rumrenne.
Hat jemand eine Idee?
Kann man so was über eine GPO machen?
Wäre über Hinweise sehr dankbar.
VG
Thorsten
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Kommentar vom Moderator Frank am 24.11.2016 um 15:07:28 Uhr
Ich habe alle Kommentare, die nicht zum Thema gehören (sowie die guten Ratschläge) gelöscht und alles etwas freundlicher gestaltet. Ich hoffe jemand kann ihm einen schnellen Workaround zu seinem Problem geben. Generell sollte bei dieser Größenordnung aber ein externes Unternehmen mit ins Boot genommen werden, die das AD mal genau bewertet.
Content-ID: 321939
Url: https://administrator.de/contentid/321939
Ausgedruckt am: 25.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Hi.
Hat man einmal seine Domain-Security komplett verhunzt vorgefunden, dann kann man, zumindest, wenn man es mit Security ernst meint, nur neu, bei Null anfangen. Und das dauert keine Jahre, wenn es ein Fachmann macht.
Ich würde mir einen externen Partner suchen, der mir bei diesem Problem hilft. Dass fehlende Wissen aus dem Forum zu ziehen wird wahrscheinlich nicht funktionieren.
Gruß
Hat man einmal seine Domain-Security komplett verhunzt vorgefunden, dann kann man, zumindest, wenn man es mit Security ernst meint, nur neu, bei Null anfangen. Und das dauert keine Jahre, wenn es ein Fachmann macht.
Ich würde mir einen externen Partner suchen, der mir bei diesem Problem hilft. Dass fehlende Wissen aus dem Forum zu ziehen wird wahrscheinlich nicht funktionieren.
Gruß
Hi,
ich muss @dww zustimmen.
Jedoch, wenn es Dir auf die Schnelle erstmal nur um die Überwachung der Domänen-Admins ankommt, dann schau Dir einfach mal die Überwachungsrichtlinien an.
Das läuft darauf hinaus, dass man auf den DC die Überwachung der AD Objekte aktiviert. Dann muss man noch die Objekte "kennzeichnen", welche überwacht werden sollen. Die Events dazu landen dann im Eventlog des DC's, welcher die Anforderung bearbeitet hat. Zusammen mit einem Eventtrigger kann man sich dann z.B. eine Email senden lassen.
Oder vielleicht reicht für den Anfang schon "eingeschränkte Gruppen". Das ist eine Richtlinie, welche man mittels GPO verteilen kann.
Schau Dir beides an. Aber im Tenor von @DerWoWusste: Wenn Du verstehst, was Du darüber lesen kannst, dann mach es. Wenn Du es nicht wirklich überblickst, dann lass besser die Finger davon. Du könntest ungewollt alles verschlimmern.
E.
ich muss @dww zustimmen.
Jedoch, wenn es Dir auf die Schnelle erstmal nur um die Überwachung der Domänen-Admins ankommt, dann schau Dir einfach mal die Überwachungsrichtlinien an.
Das läuft darauf hinaus, dass man auf den DC die Überwachung der AD Objekte aktiviert. Dann muss man noch die Objekte "kennzeichnen", welche überwacht werden sollen. Die Events dazu landen dann im Eventlog des DC's, welcher die Anforderung bearbeitet hat. Zusammen mit einem Eventtrigger kann man sich dann z.B. eine Email senden lassen.
Oder vielleicht reicht für den Anfang schon "eingeschränkte Gruppen". Das ist eine Richtlinie, welche man mittels GPO verteilen kann.
Schau Dir beides an. Aber im Tenor von @DerWoWusste: Wenn Du verstehst, was Du darüber lesen kannst, dann mach es. Wenn Du es nicht wirklich überblickst, dann lass besser die Finger davon. Du könntest ungewollt alles verschlimmern.
E.
Ich darf mich seit ca. 2 Wochen um diese Thema AD kümmern (davor das letzte mal vor 4 Jahre)
Hier ist es leider einer über viele Jahre gewachsene AD Struktur die durch Firmenübernahmen,
neuen Tochtergesellschaften auf 5 Kontinenten etc. gewachsen ist.
Ich habe die Ehrenvolle Aufgabe mir hier einen Überblick zu verschaffen. Einen Syslog-Server bekomm ich eben nicht genehmigt,
ein Change-Auditing als ´vollwertige Lösung erst recht nicht.
Wir reden hier nicht über ne Domäne mit ein paar hundert Computer-Objekte im AD....eher im 5-Stelligen Bereich.
Ich suche eine Lösung die ich schnell als Überbrückung nutzen kann, damit nicht andere User ständig
ihr eigenes Süppchen in der AD-Kochen!
Hier ist es leider einer über viele Jahre gewachsene AD Struktur die durch Firmenübernahmen,
neuen Tochtergesellschaften auf 5 Kontinenten etc. gewachsen ist.
Ich habe die Ehrenvolle Aufgabe mir hier einen Überblick zu verschaffen. Einen Syslog-Server bekomm ich eben nicht genehmigt,
ein Change-Auditing als ´vollwertige Lösung erst recht nicht.
Wir reden hier nicht über ne Domäne mit ein paar hundert Computer-Objekte im AD....eher im 5-Stelligen Bereich.
Ich suche eine Lösung die ich schnell als Überbrückung nutzen kann, damit nicht andere User ständig
ihr eigenes Süppchen in der AD-Kochen!
@ThorstenRay
Trink einen Kaffee, entspann Dich!
Ob ein Forum dafür da ist, einen IT-Admin eines auf "5 Kontinenten" operierenden Unternehmens zu beraten, mag jeder für sich selbst beantworten.
Andereseits: Dann wieder zu klein, um "aus der Portokasse" einen Syslog-Server und/oder ein Change-Auditing bezahlen zu können. Hm ...
Vielleicht will die Firma einfach gar nicht, dass Du da irgendwas überwachst?
Trink einen Kaffee, entspann Dich!
Ob ein Forum dafür da ist, einen IT-Admin eines auf "5 Kontinenten" operierenden Unternehmens zu beraten, mag jeder für sich selbst beantworten.
Andereseits: Dann wieder zu klein, um "aus der Portokasse" einen Syslog-Server und/oder ein Change-Auditing bezahlen zu können. Hm ...
Vielleicht will die Firma einfach gar nicht, dass Du da irgendwas überwachst?
Wie konnte es so weit kommen? Ich meine ein User ist ein User und ein Admin ist ein Admin, also irgendwas muss schief gegangen sein das sich ein User einfach mal so zum Admin aufschwingen kann?
Man sollte durchaus aus den Porte etwas in die Hand nehmen damit man dass gesamte AD (am besten Schrittweise) erneuert mit richtigen Sicherheitsberechtigungen. Ich meine wen jeder Hinz und Kunz die Domäne Admins Gruppe bearbeiten kann giebt mir das schon sehr zu Denken.
Gruß an die IT-Welt,
J Herbrich
Man sollte durchaus aus den Porte etwas in die Hand nehmen damit man dass gesamte AD (am besten Schrittweise) erneuert mit richtigen Sicherheitsberechtigungen. Ich meine wen jeder Hinz und Kunz die Domäne Admins Gruppe bearbeiten kann giebt mir das schon sehr zu Denken.
Gruß an die IT-Welt,
J Herbrich
