Domain Adminrechte für Programme

sabergfx
Goto Top
Hi Community,

ich habe eine Frage zum Admin-Tearing in der Activ-Directory und bestimmen Programmen.

Bei den meisten Programmen wie z.B. Veeam Backup, Altaro oder dem Kaspersky Admin Center wird ein Account benötigt, um Zugriff auf alle Funktionen zu erhalten. In den meisten Schulungsvideos wird dort der Domain-Admin Account eingetragen. Meine Frage, gibt es eine Möglichkeit dies besser zu gestalten?



Mfg Saber

Content-Key: 1899587491

Url: https://administrator.de/contentid/1899587491

Ausgedruckt am: 17.08.2022 um 18:08 Uhr

Mitglied: Dani
Lösung Dani 12.02.2022 um 18:37:51 Uhr
Goto Top
Moin,
klar, dedizierte Benutzer mit den notwendigen Berechtigungen. Ist aber je nach Anwendung nicht ganz einfach umzusetzen. Gerade solchen Anfrage beim technischen Support beim Hersteller der Anwendung ist Zeit und gute Nerven gefragt. Denn in den Regel wird eben der (Domain) Administrator aus Bequemlichkeit schon vom Kunde aus genutzt. Was auch klar ist, dass bei jeder Änderung/Aktualisierung der beteiligten Server, Software der ganze Prozess am Ende wieder getestet werden muss.


Gruß,
Dani
Mitglied: MirkoKR
MirkoKR 12.02.2022 um 18:41:29 Uhr
Goto Top
Pauschale Antwort: JA
... und ist auch zu empfehlen!

Eine Variante ist, auf den Rechnern denselben lokalen Admin-Account einzurichten - das geht auch per GPO

Besser noch, ein Funktionskonto einrichten, das die Berechtigung hat, alle Daten zu sichern, aber z.B. keine Berechtigung hat, sich lokal / aka INTERAKTIV anzumelden.
Auch das geht per GPO, wobei je nach DC-Version die lokale Berechtigungsgruppe dafür nicht per GPO ausgewählt und erst angelegt werden muss

Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$

.
Mitglied: Dani
Dani 12.02.2022 um 18:48:38 Uhr
Goto Top
@MirkoKR
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
Das hat zwei Gründe:
a) Die Erwartungshaltung ist, dass eine Software einfach zu installieren ist und im Anschluss nahe zu einsatzbereit ist. Alles andere würde nämlich den technischen Support mit Anfragen überschwemmen und den Kunden nerven.
b) Woher soll die Software deine Gegebenheiten kennen. Mir ist es lieber wir müssen manuell Hand anlegen und wissen hinterher wo wir was wie geändert haben. Als würde die Software dies (voll)automatisch selbst machen und reißt evtl. noch größere Löcher in die Server und Systeme als die welche Microsoft Out-of-the-box mitliefert.


Gruß,
Dani
Mitglied: MirkoKR
MirkoKR 12.02.2022 um 19:32:03 Uhr
Goto Top
Zitat von @Dani:

@MirkoKR
Traurig aber, das sowas meist von der SW nicht automatisch eingerichtet wird :-$
Das hat zwei Gründe:

Recht hast du ... aber die IT hat spätestens dann ein Problem, wenn das PW des Domain-Admin geändert, oder der jeweilige Domain-Admin gesperrt wird ( ausgeschiedene MA, etc) und Dienste auf verschiedenen Servern nicht mehr tun, was sie sollen ...
OK - hier ist das primäte Problem mangelhafte Dokumentation - aber leider häufiges Problem ...

.
Mitglied: 126231
126231 12.02.2022 um 20:14:09 Uhr
Goto Top
Servus!
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Natürlich legst du für die jeweilige Aufgabe einen eigenen Account an - und verwendest nicht den Administrator...

Alles was du tun kannst, ist dir zu überlegen ob du diese speziellen Systeme noch weiter härten/ abschotten kannst.

e.g.
  • alle eingehenden Verbindungen verbieten und über KVM arbeiten
  • den Backup-Server nicht mit in die Domäne aufnehmen
...

Gruß
Luigi
Mitglied: lcer00
lcer00 12.02.2022 um 22:47:33 Uhr
Goto Top
Hallo,
Zitat von @papa-luigi:

Servus!
Wie schon geschrieben, ist es leider manchmal notwendig, dass der Account Domain-Admin Rechte hat.
Ne, ist eigentlich nie notwendig. Domain-Admins sind nicht die Schweizer-Taschenmesser-Accounts, die alles können. Nein, es sind die Administrationsaccounts für die Domänencontroller. Deren Rechte braucht (eigentlich) keine Drittanbietersoftware. Also - tue alles, um die nicht zu brauchen. Zur Not musst Du rumprobieren. Pack einen dedizierten Account in die entsprechenden Lokalen Gruppen ( je nach Problem: Sicherungsoperatoren, Ereignisprotokollleser, …) meist bekommt man das irgendwie hin. Und immer ordentlich negativ-Feedback an den Softwarehersteller, sonst lernen die es nie.

Grüße

lcer
Mitglied: 126231
126231 12.02.2022 um 23:09:16 Uhr
Goto Top
Leider schaut das halt in der Realität anders aus...
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...

2022-02-12_23-08

Du darfst mich gerne aufklären wie du das machst!
Mitglied: geloescht
geloescht 13.02.2022 um 20:40:41 Uhr
Goto Top
Ich nutze dafür immer Service-Accounts mit Domain-Adminrechten die sich aber nirgendwo anmelden dürfen. Hier wähle ich dann außerdem immer lange kryptische Passwörter, generiert aus meinem Passwort Safe und gut ist. Damit bin ich bisher immer sehr gut gefahren. Den Dom-Admin an sich würde ich dafür niemals nehmen
Mitglied: lcer00
lcer00 13.02.2022 um 21:11:56 Uhr
Goto Top
Hallo,
Zitat von @papa-luigi:

Leider schaut das halt in der Realität anders aus...
https://www.veeam.com/blog/backing-up-domain-controller-best-practices-f ...

2022-02-12_23-08

Du darfst mich gerne aufklären wie du das machst!
Nun, der Artikel beschreibt im wesentlichen das Sichern eines DCs mittels Agent. Dazu sind natürlich alle Rechte auf dem DC erforderlich. Um eine DC-VM zu sichern, sind diese Rechte erst einmal nicht nötig. Das Problem ist, das auch für nicht-DCs Domänenadmin-Rechte verlangt werden, obwohl dies nicht nötig ist.

Grüße

lcer