7
Dienste über AD-Servicekonto starten. Sinnvoll?
Hey Zusammen, ich frage mich gerade, ob es Sinnvoll ist, Dienste auf einem Server (Zutrittskontrolle, Videoüberwachung) über einen AD-Serviceaccount zu starten? Was spricht dagegen und was dafür?
Wenn ich das Passwort des Serviceaccounts im AD ändere... Checkt der Server das oder muss ich das bei jedem Dienst wieder einzeln eintragen?
Vielen Dank schonmal und VG,
Dominik
PS: ist für ein Testsystem
Wenn ich das Passwort des Serviceaccounts im AD ändere... Checkt der Server das oder muss ich das bei jedem Dienst wieder einzeln eintragen?
Vielen Dank schonmal und VG,
Dominik
PS: ist für ein Testsystem
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4217157846
Url: https://administrator.de/contentid/4217157846
Printed on: April 28, 2024 at 08:04 o'clock
7 Comments
Latest comment
Für diese Zwecke gibt es die Group Managed Service Accounts. Da wechseln die Kennwörter automatisch in einem von dir vorgegeben Intervall. Du musst dann nichts mehr händisch machen.
2
Wäre da dann trotzdem eine Remoteanmeldung möglich mit diesem Konto?
Und was würde passieren, wenn keine Verbindung zum AD besteht?
Aber Danke schonmal. Das hilft mir schonmal
Und was würde passieren, wenn keine Verbindung zum AD besteht?
Aber Danke schonmal. Das hilft mir schonmal
Eine Remoteanmeldung mit dem Benutzer ist nicht möglich, da du das Kennwort nicht kennst. Die Dienste werden mit dem Serviceuser gestartet und man lässt das Kennwort dabei leer. Das holt sich der Server dann vom AD.
Moin
Nein. Das eine hat mit dem anderen nichts zu tun. Das Konto, mit dem Du den Dienst ausführst ist ja nicht das Konto, mit dem Du dich an der Software anmeldest.
Bekanntes Beispiel: Erstellen eines MSA für den SQL-Server. Einfach weil der Serverdienst sonst mit Systemrechten läuft und das eindeutig zuviel ist. Mit dem erstellten Konto wird dann der Datenbankdienst gestartet. Du wirst Dich aber niemals mit diesem Konto direkt anmelden. (geht auch nicht) Der Zugriff auf die Daten erfolgt wahrscheinlich schlussendlich über irgendein Frontend mit eigener Benutzerverwaltung.
Willst du z.B. auf die aufgezeichneten Videos der Überwachung zugreifen, so wird es sicherlich auch dort irgendeine Benutzerverwaltung geben.
Gruß
Nein. Das eine hat mit dem anderen nichts zu tun. Das Konto, mit dem Du den Dienst ausführst ist ja nicht das Konto, mit dem Du dich an der Software anmeldest.
Bekanntes Beispiel: Erstellen eines MSA für den SQL-Server. Einfach weil der Serverdienst sonst mit Systemrechten läuft und das eindeutig zuviel ist. Mit dem erstellten Konto wird dann der Datenbankdienst gestartet. Du wirst Dich aber niemals mit diesem Konto direkt anmelden. (geht auch nicht) Der Zugriff auf die Daten erfolgt wahrscheinlich schlussendlich über irgendein Frontend mit eigener Benutzerverwaltung.
Willst du z.B. auf die aufgezeichneten Videos der Überwachung zugreifen, so wird es sicherlich auch dort irgendeine Benutzerverwaltung geben.
Gruß
1
p.s.
.. dann hast Du ein ganz anderes Problem
.. dann hast Du ein ganz anderes Problem
3
Das ist klar, aber im fall des falles. Wenn wir einen Hackerangriff durchmachen und ich AD und Viedeosystem offline nehme. Würde der Dienst noch gestartet werden?
Moin,
was hat ein Videosystem in einem VLAN mit dem AD zu suchen? Das ist aus meiner Sicht besonders schützenswert und gehört in ein eigenes VLAN, dedizierte IP-Adressen, etc.
Gruß,
Dani
was hat ein Videosystem in einem VLAN mit dem AD zu suchen? Das ist aus meiner Sicht besonders schützenswert und gehört in ein eigenes VLAN, dedizierte IP-Adressen, etc.
Gruß,
Dani
Series: Active Directory
Dienste über AD-Servicekonto starten. Sinnvoll? (german)7Änderungsüberwachung in Active Directory (german)1