7
Dienste über AD-Servicekonto starten. Sinnvoll?
Hey Zusammen, ich frage mich gerade, ob es Sinnvoll ist, Dienste auf einem Server (Zutrittskontrolle, Videoüberwachung) über einen AD-Serviceaccount zu starten? Was spricht dagegen und was dafür?
Wenn ich das Passwort des Serviceaccounts im AD ändere... Checkt der Server das oder muss ich das bei jedem Dienst wieder einzeln eintragen?
Vielen Dank schonmal und VG,
Dominik
PS: ist für ein Testsystem
Wenn ich das Passwort des Serviceaccounts im AD ändere... Checkt der Server das oder muss ich das bei jedem Dienst wieder einzeln eintragen?
Vielen Dank schonmal und VG,
Dominik
PS: ist für ein Testsystem
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4217157846
Url: https://administrator.de/forum/dienste-ueber-ad-servicekonto-starten-sinnvoll-4217157846.html
Ausgedruckt am: 21.12.2024 um 14:12 Uhr
7 Kommentare
Neuester Kommentar
Für diese Zwecke gibt es die Group Managed Service Accounts. Da wechseln die Kennwörter automatisch in einem von dir vorgegeben Intervall. Du musst dann nichts mehr händisch machen.
2
Wäre da dann trotzdem eine Remoteanmeldung möglich mit diesem Konto?
Und was würde passieren, wenn keine Verbindung zum AD besteht?
Aber Danke schonmal. Das hilft mir schonmal
Und was würde passieren, wenn keine Verbindung zum AD besteht?
Aber Danke schonmal. Das hilft mir schonmal
Eine Remoteanmeldung mit dem Benutzer ist nicht möglich, da du das Kennwort nicht kennst. Die Dienste werden mit dem Serviceuser gestartet und man lässt das Kennwort dabei leer. Das holt sich der Server dann vom AD.
Moin
Nein. Das eine hat mit dem anderen nichts zu tun. Das Konto, mit dem Du den Dienst ausführst ist ja nicht das Konto, mit dem Du dich an der Software anmeldest.
Bekanntes Beispiel: Erstellen eines MSA für den SQL-Server. Einfach weil der Serverdienst sonst mit Systemrechten läuft und das eindeutig zuviel ist. Mit dem erstellten Konto wird dann der Datenbankdienst gestartet. Du wirst Dich aber niemals mit diesem Konto direkt anmelden. (geht auch nicht) Der Zugriff auf die Daten erfolgt wahrscheinlich schlussendlich über irgendein Frontend mit eigener Benutzerverwaltung.
Willst du z.B. auf die aufgezeichneten Videos der Überwachung zugreifen, so wird es sicherlich auch dort irgendeine Benutzerverwaltung geben.
Gruß
Nein. Das eine hat mit dem anderen nichts zu tun. Das Konto, mit dem Du den Dienst ausführst ist ja nicht das Konto, mit dem Du dich an der Software anmeldest.
Bekanntes Beispiel: Erstellen eines MSA für den SQL-Server. Einfach weil der Serverdienst sonst mit Systemrechten läuft und das eindeutig zuviel ist. Mit dem erstellten Konto wird dann der Datenbankdienst gestartet. Du wirst Dich aber niemals mit diesem Konto direkt anmelden. (geht auch nicht) Der Zugriff auf die Daten erfolgt wahrscheinlich schlussendlich über irgendein Frontend mit eigener Benutzerverwaltung.
Willst du z.B. auf die aufgezeichneten Videos der Überwachung zugreifen, so wird es sicherlich auch dort irgendeine Benutzerverwaltung geben.
Gruß
1
p.s.
.. dann hast Du ein ganz anderes Problem
.. dann hast Du ein ganz anderes Problem
3
Das ist klar, aber im fall des falles. Wenn wir einen Hackerangriff durchmachen und ich AD und Viedeosystem offline nehme. Würde der Dienst noch gestartet werden?
Moin,
was hat ein Videosystem in einem VLAN mit dem AD zu suchen? Das ist aus meiner Sicht besonders schützenswert und gehört in ein eigenes VLAN, dedizierte IP-Adressen, etc.
Gruß,
Dani
was hat ein Videosystem in einem VLAN mit dem AD zu suchen? Das ist aus meiner Sicht besonders schützenswert und gehört in ein eigenes VLAN, dedizierte IP-Adressen, etc.
Gruß,
Dani
Serie: Active Directory
Dienste über AD-Servicekonto starten. Sinnvoll?7Änderungsüberwachung in Active Directory1
