9
Domain Adminrechte für Programme
Hi Community,
ich habe eine Frage zum Admin-Tearing in der Activ-Directory und bestimmen Programmen.
Bei den meisten Programmen wie z.B. Veeam Backup, Altaro oder dem Kaspersky Admin Center wird ein Account benötigt, um Zugriff auf alle Funktionen zu erhalten. In den meisten Schulungsvideos wird dort der Domain-Admin Account eingetragen. Meine Frage, gibt es eine Möglichkeit dies besser zu gestalten?
Mfg Saber
ich habe eine Frage zum Admin-Tearing in der Activ-Directory und bestimmen Programmen.
Bei den meisten Programmen wie z.B. Veeam Backup, Altaro oder dem Kaspersky Admin Center wird ein Account benötigt, um Zugriff auf alle Funktionen zu erhalten. In den meisten Schulungsvideos wird dort der Domain-Admin Account eingetragen. Meine Frage, gibt es eine Möglichkeit dies besser zu gestalten?
Mfg Saber
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1899587491
Url: https://administrator.de/contentid/1899587491
Ausgedruckt am: 06.10.2024 um 06:10 Uhr
9 Kommentare
Neuester Kommentar
Moin,
klar, dedizierte Benutzer mit den notwendigen Berechtigungen. Ist aber je nach Anwendung nicht ganz einfach umzusetzen. Gerade solchen Anfrage beim technischen Support beim Hersteller der Anwendung ist Zeit und gute Nerven gefragt. Denn in den Regel wird eben der (Domain) Administrator aus Bequemlichkeit schon vom Kunde aus genutzt. Was auch klar ist, dass bei jeder Änderung/Aktualisierung der beteiligten Server, Software der ganze Prozess am Ende wieder getestet werden muss.
Gruß,
Dani
klar, dedizierte Benutzer mit den notwendigen Berechtigungen. Ist aber je nach Anwendung nicht ganz einfach umzusetzen. Gerade solchen Anfrage beim technischen Support beim Hersteller der Anwendung ist Zeit und gute Nerven gefragt. Denn in den Regel wird eben der (Domain) Administrator aus Bequemlichkeit schon vom Kunde aus genutzt. Was auch klar ist, dass bei jeder Änderung/Aktualisierung der beteiligten Server, Software der ganze Prozess am Ende wieder getestet werden muss.
Gruß,
Dani
Pauschale Antwort: JA
... und ist auch zu empfehlen!
Eine Variante ist, auf den Rechnern denselben lokalen Admin-Account einzurichten - das geht auch per GPO
Besser noch, ein Funktionskonto einrichten, das die Berechtigung hat, alle Daten zu sichern, aber z.B. keine Berechtigung hat, sich lokal / aka INTERAKTIV anzumelden.
Auch das geht per GPO, wobei je nach DC-Version die lokale Berechtigungsgruppe dafür nicht per GPO ausgewählt und erst angelegt werden muss
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
.
... und ist auch zu empfehlen!
Eine Variante ist, auf den Rechnern denselben lokalen Admin-Account einzurichten - das geht auch per GPO
Besser noch, ein Funktionskonto einrichten, das die Berechtigung hat, alle Daten zu sichern, aber z.B. keine Berechtigung hat, sich lokal / aka INTERAKTIV anzumelden.
Auch das geht per GPO, wobei je nach DC-Version die lokale Berechtigungsgruppe dafür nicht per GPO ausgewählt und erst angelegt werden muss
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
.
@MirkoKR
a) Die Erwartungshaltung ist, dass eine Software einfach zu installieren ist und im Anschluss nahe zu einsatzbereit ist. Alles andere würde nämlich den technischen Support mit Anfragen überschwemmen und den Kunden nerven.
b) Woher soll die Software deine Gegebenheiten kennen. Mir ist es lieber wir müssen manuell Hand anlegen und wissen hinterher wo wir was wie geändert haben. Als würde die Software dies (voll)automatisch selbst machen und reißt evtl. noch größere Löcher in die Server und Systeme als die welche Microsoft Out-of-the-box mitliefert.
Gruß,
Dani
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
Das hat zwei Gründe:a) Die Erwartungshaltung ist, dass eine Software einfach zu installieren ist und im Anschluss nahe zu einsatzbereit ist. Alles andere würde nämlich den technischen Support mit Anfragen überschwemmen und den Kunden nerven.
b) Woher soll die Software deine Gegebenheiten kennen. Mir ist es lieber wir müssen manuell Hand anlegen und wissen hinterher wo wir was wie geändert haben. Als würde die Software dies (voll)automatisch selbst machen und reißt evtl. noch größere Löcher in die Server und Systeme als die welche Microsoft Out-of-the-box mitliefert.
Gruß,
Dani
Zitat von @Dani:
@MirkoKR
@MirkoKR
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
Das hat zwei Gründe:Recht hast du ... aber die IT hat spätestens dann ein Problem, wenn das PW des Domain-Admin geändert, oder der jeweilige Domain-Admin gesperrt wird ( ausgeschiedene MA, etc) und Dienste auf verschiedenen Servern nicht mehr tun, was sie sollen ...
OK - hier ist das primäte Problem mangelhafte Dokumentation - aber leider häufiges Problem ...
.
Servus!
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Natürlich legst du für die jeweilige Aufgabe einen eigenen Account an - und verwendest nicht den Administrator...
Alles was du tun kannst, ist dir zu überlegen ob du diese speziellen Systeme noch weiter härten/ abschotten kannst.
e.g.
Gruß
Luigi
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Natürlich legst du für die jeweilige Aufgabe einen eigenen Account an - und verwendest nicht den Administrator...
Alles was du tun kannst, ist dir zu überlegen ob du diese speziellen Systeme noch weiter härten/ abschotten kannst.
e.g.
- alle eingehenden Verbindungen verbieten und über KVM arbeiten
- den Backup-Server nicht mit in die Domäne aufnehmen
Gruß
Luigi
Hallo,
Grüße
lcer
Zitat von @papa-luigi:
Servus!
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Ne, ist eigentlich nie notwendig. Domain-Admins sind nicht die Schweizer-Taschenmesser-Accounts, die alles können. Nein, es sind die Administrationsaccounts für die Domänencontroller. Deren Rechte braucht (eigentlich) keine Drittanbietersoftware. Also - tue alles, um die nicht zu brauchen. Zur Not musst Du rumprobieren. Pack einen dedizierten Account in die entsprechenden Lokalen Gruppen ( je nach Problem: Sicherungsoperatoren, Ereignisprotokollleser, …) meist bekommt man das irgendwie hin. Und immer ordentlich negativ-Feedback an den Softwarehersteller, sonst lernen die es nie.Servus!
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Grüße
lcer
Leider schaut das halt in der Realität anders aus...
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...
Du darfst mich gerne aufklären wie du das machst!
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...
Du darfst mich gerne aufklären wie du das machst!
Ich nutze dafür immer Service-Accounts mit Domain-Adminrechten die sich aber nirgendwo anmelden dürfen. Hier wähle ich dann außerdem immer lange kryptische Passwörter, generiert aus meinem Passwort Safe und gut ist. Damit bin ich bisher immer sehr gut gefahren. Den Dom-Admin an sich würde ich dafür niemals nehmen
Hallo,
Grüße
lcer
Zitat von @papa-luigi:
Leider schaut das halt in der Realität anders aus...
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...
Du darfst mich gerne aufklären wie du das machst!
Nun, der Artikel beschreibt im wesentlichen das Sichern eines DCs mittels Agent. Dazu sind natürlich alle Rechte auf dem DC erforderlich. Um eine DC-VM zu sichern, sind diese Rechte erst einmal nicht nötig. Das Problem ist, das auch für nicht-DCs Domänenadmin-Rechte verlangt werden, obwohl dies nicht nötig ist.Leider schaut das halt in der Realität anders aus...
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...
Du darfst mich gerne aufklären wie du das machst!
Grüße
lcer
