AD Vertrauliche Konten mit übergebenen Anmeldedaten
Moin Moin,
ich hätte mal eine Frage bezüglich der Delegierung von vertraulichen Konten. Ich bin dabei die Sicherheit ein wenig aufzuarbeiten, um Accounts vor Nachahmung zu schützen soll man ja die Option "Konto ist vertraulich und kann nicht delegiert werden" besonders bei Admin Kontos aktivieren.
Meine Frage ist jetzt ob das die Funktionalität von Anwendungen bei denen die Anmeldedaten von einem dieser Accounts hinterlegt ist in irgendeiner Weise beeinträchtigen kann wie z.B. Veeam oder geht das weiterhin?
Oder Sollte man den Account gleich zu den protected-Users hinzufügen?
Frohen Montag und Grüße
Florian
ich hätte mal eine Frage bezüglich der Delegierung von vertraulichen Konten. Ich bin dabei die Sicherheit ein wenig aufzuarbeiten, um Accounts vor Nachahmung zu schützen soll man ja die Option "Konto ist vertraulich und kann nicht delegiert werden" besonders bei Admin Kontos aktivieren.
Meine Frage ist jetzt ob das die Funktionalität von Anwendungen bei denen die Anmeldedaten von einem dieser Accounts hinterlegt ist in irgendeiner Weise beeinträchtigen kann wie z.B. Veeam oder geht das weiterhin?
Oder Sollte man den Account gleich zu den protected-Users hinzufügen?
Frohen Montag und Grüße
Florian
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6527616076
Url: https://administrator.de/forum/ad-vertrauliche-konten-mit-uebergebenen-anmeldedaten-6527616076.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
1 Kommentar
Moin Florian,
da bis jetzt noch keiner geantwortet hat, hoffe ich dich bringt mein Halbwissen dazu weiter
Also wenn ich diese Funktion richtig verstehe, verhindert sie, dass der Benutzer durch einen anderen nicht Admin benutzer deligiert werden kann.
So z.B. könnte man einem Benutzer das Recht geben einen Adminaccount zu verwalten, was man ja normalerweise nicht macht, aber evtl. durch eine Sicherheitslücke ausgenutzt werden könnte.
Diese Funktion verhindert aber NICHT, dass ein anderer Admin das Konto verwaltet.
Da Veeam kein Benutzerkonto verwaltet, sondernt sich nur als Admin anmeldet um das Backup durchzuführen, wird es wohl kein Problem damit geben, aber 100% sicher bin ich nicht
Laut Microsoft dürfen protected-Users keine Konten sein, die irgendwelche Dienste ausführen. Da wäre ich mir bei dem bei Veeam hinterlegeten User nicht sicher. Da kann es gut sein, dass der User notwendige Dienste dann nicht starten kann.
Ich würd das an deiner Stelle einfach mal ausprobieren, aber pass auf, dass du noch einen anderen Adminaccount hast falls du dich aussperst damit. Im schlimmsten Fall schlägt halt dann das Veeam Backup an einem Tag fehl, aber wird schon nicht genau an dem Tag gebraucht werden ;)
da bis jetzt noch keiner geantwortet hat, hoffe ich dich bringt mein Halbwissen dazu weiter
Also wenn ich diese Funktion richtig verstehe, verhindert sie, dass der Benutzer durch einen anderen nicht Admin benutzer deligiert werden kann.
So z.B. könnte man einem Benutzer das Recht geben einen Adminaccount zu verwalten, was man ja normalerweise nicht macht, aber evtl. durch eine Sicherheitslücke ausgenutzt werden könnte.
Diese Funktion verhindert aber NICHT, dass ein anderer Admin das Konto verwaltet.
Da Veeam kein Benutzerkonto verwaltet, sondernt sich nur als Admin anmeldet um das Backup durchzuführen, wird es wohl kein Problem damit geben, aber 100% sicher bin ich nicht
Laut Microsoft dürfen protected-Users keine Konten sein, die irgendwelche Dienste ausführen. Da wäre ich mir bei dem bei Veeam hinterlegeten User nicht sicher. Da kann es gut sein, dass der User notwendige Dienste dann nicht starten kann.
Ich würd das an deiner Stelle einfach mal ausprobieren, aber pass auf, dass du noch einen anderen Adminaccount hast falls du dich aussperst damit. Im schlimmsten Fall schlägt halt dann das Veeam Backup an einem Tag fehl, aber wird schon nicht genau an dem Tag gebraucht werden ;)