djdomx
Goto Top

Dienste über AD-Servicekonto starten. Sinnvoll?

Hey Zusammen, ich frage mich gerade, ob es Sinnvoll ist, Dienste auf einem Server (Zutrittskontrolle, Videoüberwachung) über einen AD-Serviceaccount zu starten? Was spricht dagegen und was dafür?

Wenn ich das Passwort des Serviceaccounts im AD ändere... Checkt der Server das oder muss ich das bei jedem Dienst wieder einzeln eintragen?

Vielen Dank schonmal und VG,
Dominik

PS: ist für ein Testsystem face-smile

Content-Key: 4217157846

Url: https://administrator.de/contentid/4217157846

Printed on: May 21, 2024 at 20:05 o'clock

Member: elix2k
elix2k Mar 05, 2024 at 13:31:33 (UTC)
Goto Top
Für diese Zwecke gibt es die Group Managed Service Accounts. Da wechseln die Kennwörter automatisch in einem von dir vorgegeben Intervall. Du musst dann nichts mehr händisch machen.
Member: DjDomX
DjDomX Mar 05, 2024 at 13:37:34 (UTC)
Goto Top
Wäre da dann trotzdem eine Remoteanmeldung möglich mit diesem Konto?
Und was würde passieren, wenn keine Verbindung zum AD besteht?

Aber Danke schonmal. Das hilft mir schonmal
Member: elix2k
elix2k Mar 05, 2024 at 14:00:04 (UTC)
Goto Top
Eine Remoteanmeldung mit dem Benutzer ist nicht möglich, da du das Kennwort nicht kennst. Die Dienste werden mit dem Serviceuser gestartet und man lässt das Kennwort dabei leer. Das holt sich der Server dann vom AD.
Member: Hubert.N
Hubert.N Mar 05, 2024 updated at 14:04:32 (UTC)
Goto Top
Moin

Zitat von @DjDomX:
Wäre da dann trotzdem eine Remoteanmeldung möglich mit diesem Konto?
(...)

Nein. Das eine hat mit dem anderen nichts zu tun. Das Konto, mit dem Du den Dienst ausführst ist ja nicht das Konto, mit dem Du dich an der Software anmeldest.
Bekanntes Beispiel: Erstellen eines MSA für den SQL-Server. Einfach weil der Serverdienst sonst mit Systemrechten läuft und das eindeutig zuviel ist. Mit dem erstellten Konto wird dann der Datenbankdienst gestartet. Du wirst Dich aber niemals mit diesem Konto direkt anmelden. (geht auch nicht) Der Zugriff auf die Daten erfolgt wahrscheinlich schlussendlich über irgendein Frontend mit eigener Benutzerverwaltung.

Willst du z.B. auf die aufgezeichneten Videos der Überwachung zugreifen, so wird es sicherlich auch dort irgendeine Benutzerverwaltung geben.

Gruß
Member: Hubert.N
Hubert.N Mar 05, 2024 updated at 14:06:37 (UTC)
Goto Top
p.s.
Zitat von @DjDomX:
Und was würde passieren, wenn keine Verbindung zum AD besteht?
.. dann hast Du ein ganz anderes Problem face-wink
Member: DjDomX
DjDomX Mar 06, 2024 at 15:30:42 (UTC)
Goto Top
Das ist klar, aber im fall des falles. Wenn wir einen Hackerangriff durchmachen und ich AD und Viedeosystem offline nehme. Würde der Dienst noch gestartet werden?
Member: Dani
Dani Mar 07, 2024 at 18:16:51 (UTC)
Goto Top
Moin,
was hat ein Videosystem in einem VLAN mit dem AD zu suchen? Das ist aus meiner Sicht besonders schützenswert und gehört in ein eigenes VLAN, dedizierte IP-Adressen, etc.


Gruß,
Dani