Erfahrungen mit dem Admin Konzept
Grüßt euch Administratoren,
ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.
1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?
Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?
2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools
Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?
3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?
Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!
ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.
1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?
Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?
2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools
Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?
3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?
Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7904020724
Url: https://administrator.de/contentid/7904020724
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.
Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.
Gruß
@clSchak
Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand
- Admin User für jeden MA der IT-Abteilung + MFA via HardwareDongle (Yubikey)
- JumpHost für Admin-Tools
- Tierung jain
- LAPS für das Client-Management
für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.
Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.
Gruß
@clSchak
Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand
Zitat von @nichtidentisch:
Grüßt euch Administratoren,
ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.
1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?
Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?
2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools
Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?
3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?
Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!
Grüßt euch Administratoren,
ich habe mich nun länger mit dem Thema "Admin Konzept" beschäftigt und wollte einmal nachfragen, ob Ihr gute bzw. schlechte Erfahrungen mit einigen der folgenden Themen gesammelt habt.
1. Ich habe das komplette Admin-Konzept mit dem Tiering von Usern und Servern bzw. Clients von Franky einmal durchgearbeitet (Teil 1-4)
www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sicherheit-teil-1/
In der Theorie klingt das alles ganz toll, ich bezweifle jedoch dass sich alles in der Praxis "easy" umsetzen lässt?
Setzt Ihr das Tiering aktiv ein, oder bekommt jeder Admin einfach einen "normalen" User für Emails, Tickets, Internet Zugriff etc., einen Server-User für die Administration der Server und ggf. noch einen Client Admin für die PC's/Notebooks/Drucker?
Für die Administration der Clients wäre vllt. einfach nur LAPS interessant?
Wird bei euch ein Tiering für die Server eingesetzt?
Wenn ja, auf welche Fehler seid ihr bei der Umsetzung gestoßen und wie aktiv werden die Server voneinander getrennt?
2. Jump Hosts
- Hier sehe ich auch mehrere Möglichkeiten:
-> Auf jedem Client werden die Management Tools installiert und mit run-as ausgeführt
-> Es werden Jump Hosts als Server- bzw. Client-VM auf einem ESX installiert und darauf laufen die Mgmt-Tools
-> Auf dem Lokalen Client wird eine VM installiert für die Mgmt-Tools
Habt ihr damit schon Erfahrungen gesammelt und gibt es eventuell eine weitere Interessant Option?
3. Das Windows Admin Center klingt auch sehr Interessant -> Admin Center
Gibt es hier ggf. auch einen Erfahrungsbericht?
Danke für eure Rückmeldung, eventuell habe ich ja auch noch eine weitere nützliche Option für eine Sichere Administration vergessen, ich bin für jeden Tipp / Vorschlag sehr dankbar!
Zitat von @clSchak:
Hi
für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.
Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.
Gruß
@clSchak
Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand
Hi
- Admin User für jeden MA der IT-Abteilung + MFA via HardwareDongle (Yubikey)
- JumpHost für Admin-Tools
- Tierung jain
- LAPS für das Client-Management
für das Tiering benötigst du eine passende Anzahl an MA, ansonsten wird der Verwaltungsaufwand zu groß. Bei uns hat kein IT MA mit seinem "Arbeitsaccount" irgendwo administrative Rechte, jeder hat dafür dedizierte Benutzer. Admin-Tools sind nur auf den Jumphosts, auf den Clients laufen ggf. Tools wie Putty usw. aber keine MGMT Tools.
Für Arbeiten innerhalb des AD setzen wir additive Tools ein, damit ist das delegieren einfacher, z.B. konnten wir über den Weg für einzelene Fachbereich Möglichkeiten schaffen, die Accounts von Dienstleister für Ihren Fachbereich bei Bedarf freizuschalten (kein Dienstleister hat permanenten Zugriff bei uns) oder der Personalabteilung die Möglichkeit geben, Fotos der MA anzupassen usw.
Gruß
@clSchak
Edit/Add: Bzgl. Tiering: der meiste Aufwand ist organisatorische Aufgabentrennung, dass muss funktionieren, dann ist das nicht mehr viel Aufwand
Welche Lösung setzt ihr als MFA Lösung ein? Ich such noch was für kleines Umfeld was möglichst einfach einzurichten ist.
Moin.
Ich rate dir dringend, die Frage "abzurüsten" und auf mehrere Einzelfragen aufzuteilen.
Diese Riesenfrage zu beantworten kann nur zu einigem Durcheinander führen, wenn sich mehrere beteiligen.
Ich trage deshalb nur hanz spärlich bei:
Um Domänenadmins zu schützen würde ich:
Für Clientadministration würde ich LAPS nicht verwenden, da lokale Admins nicht auf Domänenressourcen kommen. Stattdessen mein eigenes Konzept: siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten
Ich rate dir dringend, die Frage "abzurüsten" und auf mehrere Einzelfragen aufzuteilen.
Diese Riesenfrage zu beantworten kann nur zu einigem Durcheinander führen, wenn sich mehrere beteiligen.
Ich trage deshalb nur hanz spärlich bei:
Um Domänenadmins zu schützen würde ich:
- Deren Konten in die Domänengruppe "Protected Users" einfügen
- SmartCard-Anmeldung erforderlich machen
- Denen eine echte oder (je nach Anwendungsfall) virtuelle SmartCard schreiben
- Deren Anmelderecht auf Domänencontroller beschränken (ja, das ist Tiering)
Für Clientadministration würde ich LAPS nicht verwenden, da lokale Admins nicht auf Domänenressourcen kommen. Stattdessen mein eigenes Konzept: siehe Tipp zur Nutzung von Zweitaccounts unter Windows und Sicherer Umgang mit Supportkonten
Moin.
https://learn.microsoft.com/en-us/windows-server/security/credentials-pr ...
Cheers,
jsysde
Zitat von @DerWoWusste:
[...]Um Domänenadmins zu schützen würde ich:>
Nur der kurze Hinweis: Das sollte man erst tun, wenn man sich der Konsequenzen bewusst ist.[...]Um Domänenadmins zu schützen würde ich:>
- Deren Konten in die Domänengruppe "Protected Users" einfügen[...]
https://learn.microsoft.com/en-us/windows-server/security/credentials-pr ...
Cheers,
jsysde