darkzonesd
Goto Top

AD Vertrauliche Konten mit übergebenen Anmeldedaten

Moin Moin,

ich hätte mal eine Frage bezüglich der Delegierung von vertraulichen Konten. Ich bin dabei die Sicherheit ein wenig aufzuarbeiten, um Accounts vor Nachahmung zu schützen soll man ja die Option "Konto ist vertraulich und kann nicht delegiert werden" besonders bei Admin Kontos aktivieren.

Meine Frage ist jetzt ob das die Funktionalität von Anwendungen bei denen die Anmeldedaten von einem dieser Accounts hinterlegt ist in irgendeiner Weise beeinträchtigen kann wie z.B. Veeam oder geht das weiterhin? face-smile

Oder Sollte man den Account gleich zu den protected-Users hinzufügen?

Frohen Montag und Grüße


Florian

Content-ID: 6527616076

Url: https://administrator.de/contentid/6527616076

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

madnem
madnem 27.03.2023 um 16:37:03 Uhr
Goto Top
Moin Florian,

da bis jetzt noch keiner geantwortet hat, hoffe ich dich bringt mein Halbwissen dazu weiter face-smile

Also wenn ich diese Funktion richtig verstehe, verhindert sie, dass der Benutzer durch einen anderen nicht Admin benutzer deligiert werden kann.
So z.B. könnte man einem Benutzer das Recht geben einen Adminaccount zu verwalten, was man ja normalerweise nicht macht, aber evtl. durch eine Sicherheitslücke ausgenutzt werden könnte.

Diese Funktion verhindert aber NICHT, dass ein anderer Admin das Konto verwaltet.

Da Veeam kein Benutzerkonto verwaltet, sondernt sich nur als Admin anmeldet um das Backup durchzuführen, wird es wohl kein Problem damit geben, aber 100% sicher bin ich nicht

Laut Microsoft dürfen protected-Users keine Konten sein, die irgendwelche Dienste ausführen. Da wäre ich mir bei dem bei Veeam hinterlegeten User nicht sicher. Da kann es gut sein, dass der User notwendige Dienste dann nicht starten kann.

Ich würd das an deiner Stelle einfach mal ausprobieren, aber pass auf, dass du noch einen anderen Adminaccount hast falls du dich aussperst damit. Im schlimmsten Fall schlägt halt dann das Veeam Backup an einem Tag fehl, aber wird schon nicht genau an dem Tag gebraucht werden ;)