DC via JEA-Rolle promoten

festus94
Goto Top
Hallo zusammen,

ich habe mich in der letzten Zeit mit dem Thema Just Enough Administration unter Windows Server 2016 beschäftigt. Wir haben im Unternehmen ein paar Anwendungsfällt, bei denen wir das Feature nutzen möchten. Das klappt soweit auch wunderbar – bis auf eine Ausnahme.

Einer dieser Anwendungsfälle ist das Promoten von Servern zu Domänen-Controllern. Das ist meines Wissens nach die einzige Aktion, die man im AD verständlicherweise nicht einfach delegieren kann. Wir haben aber den Bedarf, diese Aktion an Administratoren zu delegieren, die keine Domänen-Admin-Rechte besitzen (sollen).

Ich habe in unserer Testumgebung jetzt eine neue JEA-Rolle auf einem Domänen-Controller angelegt.

Session Configuration

Wenn die Variable "RunAsVirtualAccount" auf $true gesetzt wird und die Rolle auf einem Domänen-Controller genutzt wird, dann wird der virtuelle Account, unter dem gearbeitet wird, Mitglied der Gruppe Domänen-Admins. Das habe ich mit


geprüft, und es funktioniert einwandfrei. Nun zur eigentlichen Aktion:

Role Capabilities

Die eigentliche Logik funktioniert auch wunderbar. Ich öffne eine PowerShell-Sitzung auf dem Domänen-Controller mit der Session Configuration und führe die Funktion


aus. Das Problem ist jetzt, dass der virtuelle Account mit Domänen-Admin-Rechten, der nur zur Laufzeit au dem DC existiert, auf dem dem zu promotenden Server nicht bekannt ist. Dementsprechend funktioniert das Promoten nicht. Zumindest ist das meiner Meinung nach das Problem.

Fehler
fehler

Habt ihr eine Idee, wie ich das Ganze anders bauen könnte, oder habt ihr das ggf. selbst schon mal gemacht? Danke für euren Input. face-smile

Viele Grüße

Festus94

Content-Key: 1508006852

Url: https://administrator.de/contentid/1508006852

Ausgedruckt am: 16.08.2022 um 11:08 Uhr

Mitglied: Th0mKa
Th0mKa 16.11.2021 um 11:15:17 Uhr
Goto Top
Moin,

der virtuelle Account ist wie du schon festgestellt hast auf genau diesen Domain Controller beschränkt. Du könntest gucken ob du das ganze stattdessen mit einem gMSA-Konto umsetzen kannst, das ist auf beliebigen Domain Computern verfügbar. Problem dabei ist die Nachverfolgbarkeit, du kannst dann nur im Transcript sehen wer wann was gemacht hat.

/Thomas
Mitglied: Festus94
Festus94 16.11.2021 um 14:44:46 Uhr
Goto Top
Hi @Th0mKa,

danke für deine Rückmeldung. Den Gedanken hatte ich auch, aber dieser Account müsste dann dauerhaft Domänen-Admin-Rechte haben, was ich nicht möchte. Und den Account auf allen Servern verfügbar machen, möchte ich auch nicht. Wir sind gerade dabei, von so Superadmins wegzukommen, die einfach überall alles dürfen. Und ich möchte generell keine Service Accounts mehr haben, die Domänen-Admin sind.

Ist zwar ambitioniert, aber wir sind schon fast da. face-smile Trotzdem danke für deine Antwort.

Viele Grüße
Mitglied: Festus94
Festus94 03.12.2021 um 12:44:53 Uhr
Goto Top
Hat sonst niemand eine Idee? face-smile
Mitglied: noob73
noob73 11.02.2022 aktualisiert um 14:30:58 Uhr
Goto Top
Zitat von @Festus94:

Hat sonst niemand eine Idee? face-smile

Falls es noch aktuell ist mit Deinem Problem:

Ja, die ist allerdings mit etwas Aufwand verbunden aber ähnlich gelagertface-wink

Stehe auch vor der Aufgabe diverse SuperAdmins Ihre überprivilegierten Rechte zu entziehen. Ist zwar noch nicht vollständig umgesetzt sieht aber in etwa so aus:

Ich bau mir einen JEA-Endpoint in dem ich nur Proxy-Funktionen implementiere.
Über diesen JEA-Endpoint den nur ausgewählte AD-User einer bestimmten Gruppe Invoken dürfen füge ich ebenfalls vordefinierten Gruppen (unsere Server-Admins, Server-RDP-User, wenn nötig Domänen-, Enterprise- und Schema-Admins") darüber die notwendigen User zu.

Mit einer Besonderheit. Die User müssen ja nicht 24/7 Mitglieder dieser Gruppe sein. Deshalb hab ich die Möglichkeit der Time-Based-Groups in Betracht gezogen. Erfordert lediglich einen FFL/DFL 2016 und die Aktivierung des optionalen AD Features "Privilege Access Management". Ab da besteht die Möglichkeit User Gruppen auf Zeit zuzuordnen. Die Mitgliedschaft innerhalb der Gruppe wird über einen TTL-Wert gesteuert und die Service-Tickets dieser User werden dann vom KDC nur noch über die Dauer des definierten TTL ausgestellt.
Läuft die TTL ab, verschwindet der User automatisch aus der Gruppe =)

Geiler geht´s nicht, muss nur selbst gebaut werden. Microsoft stellt halt nur die Mittel via Powershell zu Verfügung.

Endziel soll sein, dass via GUI zu unterstützen. Somit kann dann ein unprivilegiertes Konto über den JEA-Endpoint die User auf Zeit zuordnen. Und die Proxyfunktionen benötigt man halt deshalb, weil man mit der eigentlichen Funktion Add-ADGroupmember die User ja auch prinzipiell ohne Zeitfaktor hinzufügen könnte.

Für Deinen Zweck bedeutet dies, der GMSA den du zum Promoten des DCs benötigst wäre tatsächlich nur über den definierten Zeitraum Mitglied der Gruppe "Domänen-Admins"

Ist nur eine Idee =)

Guggst Du:
https://secureidentity.se/time-based-groups/
Mitglied: Festus94
Festus94 12.02.2022 um 11:46:23 Uhr
Goto Top
Hi @noob73,

das Thema ist tatsächlich noch offen, allerdings ist es in der Prio etwas nach hinten gerückt. Ich kenne die Funktion, die du beschreibst. Das zielt ja alles auf das Thema JIT ab.

Das Problem bei der Methode ist aber, dass ich dann für z. B. eine Stunde einen Domänen-Admin habe, mit dem ja auf allen möglichen anderen Servern beliebige Aktionen ausgeführt werden können. Auch bei der Verwendung eines GMSAs, denn Domänen-Controller können diese Konten pauschal nutzen, und der Mechanismus, über den ich die zu promotenden Server zur Nutzung des Accounts berechtigen müsste, könnte ja auch von anderen einfach missbraucht werden. Genau deshalb möchte ich die Gruppenmitgliedschaft vermeiden und eher delegieren.

Trotzdem vielen Dank und ein schönes Wochenende. face-smile