informatikkfm
Goto Top

Anmeldung des Domänen-Administrators auf Arbeitsplätzen verhindern

Guten Morgen,

wir wollen die Anmeldung von vers. Benutzern, u.a. auch der Domänen-Administrator, auf den Arbeitsplätzen verhindern.
Für einen alternativen Zugriff haben wir bereits LAPS installiert und konfiguriert, falls lokal Tätigkeiten zu erfüllen sind.

Was wäre nun der beste Weg um dies zu verhindern?
Ich hätte eine Gruppe in der AD konfiguriert, wo ich unter anderem den Domain-Administrator hinzufüge.

Diese Gruppe würde ich in einer Gruppenrichtlinie verwenden, die "Anmelden als Dienst", "Lokal anmelden" und "Anmeldung via Remotedesktopdienste" verweigert.
Die erzeugte Gruppenrichtlinie linke ich dann an die OUs, in der sich die Arbeitsplätze befinden.

Stolpersteine?

Grüße

Content-ID: 477956

Url: https://administrator.de/contentid/477956

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

emeriks
emeriks 26.07.2019 aktualisiert um 11:43:46 Uhr
Goto Top
Zitat von @informatikkfm:
Stolpersteine?
Ein Domänen-Admin kann
  • sich jederzeit wieder aus dieser Gruppe entfernen
  • kann diese GPO beeinflussen
  • kann, wenn er weiterhin Mitglied der lokalen Administratoren ist, aus der Ferne die Einstellungen dieses Clients beeinflussen

Lösung:
Nutze nicht die "Domänen-Admins".
Erteile den Benutzern dediziert nur jene Rechte, welche sie benötigen. Dazu kann auch gehören, Benutzer und/oder Computer zu verwalten. Dafür mus man kein Domänenadmin sein.

E.
NetzwerkDude
NetzwerkDude 26.07.2019 aktualisiert um 11:45:28 Uhr
Goto Top
Glaube dem TO gehts in erster linie darum das sowas nicht "versehentlich" passiert, um nicht Domain-Admin Credentials auf fauligen Clients zu verteilen - im Zuge von einem Tier design:

https://blogs.technet.microsoft.com/askpfeplat/2017/10/31/protecting-dom ...

Interessant in dem Link sicher diese Schritte:
Deny Domain and Enterprise Administrators from authenticating to Tier 1 and Tier 2 assets via GPO:

Deny logon via RDP
https://technet.microsoft.com/en-us/library/dn221959(v=ws.11).aspx
Deny logon as a batch job
https://technet.microsoft.com/en-us/library/cc976547.aspx
Deny logon as a service
https://technet.microsoft.com/en-us/library/cc957038.aspx
Deny access to the computer from the network
https://technet.microsoft.com/en-us/library/dn221954(v=ws.11).aspx
Deny logon locally
https://technet.microsoft.com/en-us/library/cc957048.aspx

Aber denke so wie es der TO schreibt müsste es i.O. sein
DerWoWusste
DerWoWusste 26.07.2019 um 11:48:51 Uhr
Goto Top
Hier wird das Konzept beschrieben samt Umsetzung: https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
lcer00
lcer00 26.07.2019 um 12:24:11 Uhr
Goto Top
Hallo,

Alternativ kann man auch die Logins protokollieren und draufhauen.

Grüße

lcer
NetzwerkDude
NetzwerkDude 26.07.2019 um 13:22:38 Uhr
Goto Top
mh, dann ist es zu spät (die Malware auf dem Client könnte schon die Zugangsdaten gesnatcht haben) , am besten soll der Login gar nicht erfolgen, per Policy - daher ist der Ansatz vom TO bzw. Der WoWusste schon richtig
informatikkfm
informatikkfm 01.08.2019 um 15:32:26 Uhr
Goto Top
Ich habe jetzt ein ähnliches Konstrukt aufgebaut, wie es Microsoft vorsieht.
Über die Klassifizierung von Tiers.

Dazu habe ich drei Tiers erstellt, Tier 0, Tier 1 und Tier 2.
Tier 0 ist für die Verwaltung von AD, Tier 1 für Applikationsserver und Tier 2 für die Client-Administration.
Das ist aber nur ganz grob erklärt.

Nun habe ich eine GPO erstellt, die auf eine Test-OU wirkt, wo aktuell vers. Clients enthalten sind.
Dort habe ich hinterlegt, dass Tier0 und Tier1 sich nicht lokal, via RDP, Batch, Taskplaner, usw. anmelden darf.

Damit ich mich nicht verzettel, meine Frage:
Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?

Gruß
emeriks
emeriks 01.08.2019 um 15:59:21 Uhr
Goto Top
Zitat von @informatikkfm:
Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?
Wie ich schon geschrieben habe: Nutze diese Gruppe nicht! Sprich, füge keines Eurer Admin-Konten dort als Mitglied hinzu. Dann kann sie drinstehen, wo sie will, es hat keine Auswirkung auf die Rechte Eurer Admin-Konten.