aubanan
Goto Top

Rechtevergabe für Administrator auf Domaincontroller vs UAC

Hallo zusammen,

ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?

Danke für sachdienliche Hinweise face-smile

Content-ID: 604534

Url: https://administrator.de/contentid/604534

Ausgedruckt am: 19.12.2024 um 14:12 Uhr

lcer00
lcer00 14.09.2020 um 07:27:11 Uhr
Goto Top
Hallo,

Das hat mit der UAC nichts zu tun. Nimm den Admin in die Domain-Benutzer Gruppe auf oder vergib das Recht halt auf anderem Wege explizit.

Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Grüße

lcer
Looser27
Looser27 14.09.2020 um 08:00:46 Uhr
Goto Top
Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Dr.Bit
Dr.Bit 14.09.2020 aktualisiert um 08:20:04 Uhr
Goto Top
Zitat von @Aubanan:

Hallo zusammen,

ein Windows Server 2016 dient als Domaincontroller und Fileserver.
Der Ordner D:\Projekte ist im LAN freigegeben.
In diesem Ordner sind Unterordner Projekt1, Projekt2, Projekt3.
Im AD gibt es entsprechend Gruppen grp_Projekt1, grp_Projekt2, grp_Projekt3.
Die User sollen entsprechend der Gruppenzugehörigkeit Zugriff auf die Ordner haben.
Die Gruppen sind jeweils in den Sicherheitseinstellungen der Ordner mit Recht "Ändern" eingetragen.
Die Gruppe "Benutzer" hat per Default Rechte zum Lesen und Ausführen auf D: und durch Vererbung auch in ALLEN Projekt- & Unter-Ordnern.
Die Gruppe der "Domain-Benutzer" ist per Default auch Mitglied der Gruppe "Benutzer" und die User haben somit alle Zugriff auf ALLE Projekt-Ordner.
Das ist nicht im Sinne des Erfinders.
Die Gruppe "Benutzer" aus den Rechten von D:\zu entfernen bringt die gewünschten Zugriffsrechte bzw. Einschränkungen für die User.
Soweit so gut.
Zum Administrieren des Servers wurde ein User Dadmin angelegt und in die Gruppe der Domain-Admins und Administratoren aufgenommen.
Sobald die Gruppe der "Benutzer" aus den Rechten von D:\ entfernt wird, hat auch der Dadmin keinen Zugriff mehr.
Das ist offenbar der UAC geschuldet, wordurch auch selbstangelegte Admins im User-Kontext arbeitet.
Herunterstufen der UAC auf "Nie benachrichtigen" reicht nicht aus.
Jetzt gibt es Hinweise, per GPO in den Sicherheitsoptionen "Alle Administratoren im Administratorgenehmigungsmodus ausführen" zu deaktivieren.
Wäre das hier der empfohlene Weg, damit der Dadmin immer mit vollen rechten Arbeiten kann - Die User aber nicht auf alle Ordner Zugriff haben?

Danke für sachdienliche Hinweise face-smile

Ich verstehe das Problem nicht so ganz. Für mich stellt es sich so dar, als wenn Deine Berechtigungsstruktur etwas undurchdacht ist. Übernehme den Besitz auf alle Ordner und Dateien auf den Freigaben und passe sie dann den Anforderungen an. Dann hat der Domänenadmin (so der denn den Besitz übernimmt) auf alles Zugriff und die Benutzer nur auf das, was Du explizit freigegeben hast.


Zitat von @Looser27:

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......

Richtig. Soll, im Idealfall, aber nicht so sein.

🖖
lcer00
lcer00 14.09.2020 um 09:30:58 Uhr
Goto Top
Zitat von @Looser27:

Allerdings hat die Fileserverrolle nichts auf einem DC zu suchen. Das ist nicht supported und ein erhebliches Sicherheitsrisiko. Der DC gehört auf einen dedizierten Server.

Das läuft schon seit drölfzigmillionen Jahren auf jedem SBS genau so. Und der hat noch viel mehr Rollen im Standard......
Von SBS hat der TO nichts geschrieben.

Grüße

lcer
DerWoWusste
Lösung DerWoWusste 14.09.2020 um 09:56:04 Uhr
Goto Top
Hi.

Ja, ist wegen der UAC so.
Best practice ist, eine Gruppe Fileserveradmins zu erstellen und der Gruppe Vollzugriff zu geben. In diese Gruppe packst Du namentlich alle erforderlichen Admins rein. Nicht etwa die Gruppe Domänenadmins, sondern die einzelnen User.

PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert. Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.
Ad39min
Ad39min 14.09.2020 aktualisiert um 12:58:14 Uhr
Goto Top
Zitat von @DerWoWusste:
PS: es ist naheliegend, einen DC zum Fileserver zu machen, da er die Rolle eh schon hat. Jeder DC ist automatisch Fileserver, da er die Freigabe Sysvol serviert.

Ja, und am Besten wirft man gleich alle wichtigen Dateien ins Sysvol, weil dieses ja auf allen DCs repliziert wird face-wink

Ob man den DC so nutzen will, muss jeder selbst entscheiden. Unsicherer macht es den DC nicht.

Nö, kein Stück unsicherer face-smile Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit der Domäne beitragen.
DerWoWusste
DerWoWusste 14.09.2020 aktualisiert um 13:00:45 Uhr
Goto Top
Hallo Ad39min.

Die Nutzer werden mit den E-Mail-Anhängen die sie künftig auf den Domänencontrollern ablegen effektiv zur Sicherheit beitragen.
Wenn Du meinst, dass Du als Admin in Verlockung gerätst, die schädlichen E-Mailanhänge auszuführen, wenn am DC angemeldet, dann gebe ich Dir Recht, andernfalls ist das wumpe und das weißt Du vermutlich auch. Nein, wir selber machen das nicht so face-wink ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden. Solltest Du wirklich auf DFS hinauswollen, da dieses ja Dateien liest und repliziert, dann geb ich dir Recht: man sollte zumindest die DFS-Freigaben auf dem DC nicht von Usern nutzen lassen (was sie per default auch nicht sind).
Aubanan
Aubanan 15.09.2020 um 00:50:56 Uhr
Goto Top
Danke für eure Posts. Da scheint es ja doch noch etwas unterschiedliche Meinungen zu geben face-smile
Mein Problem ist, und damit hatten wohl auch schon andere zu tun, dass
1. auf einem DC keine lokalen Konten möglich sind.
2. mein selbst angelegter Dadmin trotz Mitglied in der Gruppe der Administratoren und Domain-Admins grundsätzlich auf dem DC im User Kontext arbeitet, solange nicht ausdrücklich elevated wird, was beim Explorer schwer fällt, da der eh ständig an ist.

Den Dadmin in die Gruppe der Domain-User zu packen, hilft mir nichts. Die Domain-User sollen ja genau keinen allumfänglichen Zugriff auf die Platte haben. Der Dadmin aber schon.

Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2. immer noch besteht. Ist aber schonmal ein Ansatz.
Zusätzlich müsste die UAC deaktivert werden - soweit ich das sehe.

Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren. Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Dann würde ich aber auch gerne den Filserver als (früher hätte man gesagt) BDC laufen lassen. Oder bringt mir das dann wieder die gleichen Probleme insbesondere 1.?
DerWoWusste
DerWoWusste 15.09.2020 um 08:44:23 Uhr
Goto Top
Eine Gruppe grp_FSadmins anzulegen reicht alleine auch nicht, da 2.immer noch besteht...
Doch, das reicht. Du vergisst vermutlich den Nutzer neu anzumelden, damit die Gruppenmitgliedschaft neu eingelesen wird.
Die sauberste Lösung scheint tatsächlich zu sein, einen separaten Filserver zu installieren.
Ja, wenn ihr einen zweiten Server wollt, ist das natürlich besser.
Dort den Admin mit dem Adminstriert wird, in die Gruppe der lokalen Admins aufnehmen.
Nein, das bringt keinen Erfolg, selbes "Problem".
C.R.S.
C.R.S. 15.09.2020 um 12:54:28 Uhr
Goto Top
Zitat von @DerWoWusste:

Nein, wir selber machen das nicht so face-wink ich weise lediglich darauf hin, dass die Fileserverrolle bereits da ist und das keine Angriffsvektoren hinzukommen, wenn man den DC als Fileserver nutzt. Wenn Du anderer Meinung bist, dann schreib auf, welche Angriffe dadurch nun möglich werden.

Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.

Grüße
Richard
DerWoWusste
DerWoWusste 15.09.2020 aktualisiert um 15:07:03 Uhr
Goto Top
Alle Angriffe, die auf dem automatisierten Parsen der dort abgelegten Dateien beruhen, z.B. gegen ntfs.sys, Explorer.exe und Defender.
So ist es. Nun sind das aber eher Spezialangriffe, die bei Firmen, die so klein sind, dass sie überhaupt in die Verlegenheit kommen, DC und Fileserver zusammenzulegen, wahrscheinlich in der Gemengelage der Sicherheitsrisiken unter "ferner liefen" rangieren.
Aber nochmal deutlich: nein, ich lege niemandem nahe, es so zu machen.