9
Tier Model: mit Tier2 Admin, Software von Tier1 Server installieren
Guten Morgen zusammen,
ich bin derweil in der Testphase unseres Tier Models auf unserem OnPrem AD.
Wir haben drei Tier Level (0 = Identity Server; 1 = Member Server; 2 = Client Endpoints) und
diese Gliederungen werden durch GPOs und Berechtigungen gewärhrleistet.
Die genutzten GPOs, um den Zugriff einzuschränken, sind folgende:
Meine Problematik: Die erste Richtlinie hält den Tier2 (Clients) Administator davon ab, Programme von den File Servern (Memberserver) herunterzuladen. Der Zugriff eines Tier2 Admins darf nicht auf ein Tier1 System gestattet sein. Wie soll ich dennoch auf einem Mitarbeiter-Rechner Software aus unserem Netzwerk ziehen? Kennt ihr das Problem, wie würdet ihr damit umgehen?
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
PS: wir haben aktuell kein Patch Management und sind deshalb Turnschuh-Administratoren.
Schon mal Danke im Voraus!
Beste GRüße
FUHSSrfe
ich bin derweil in der Testphase unseres Tier Models auf unserem OnPrem AD.
Wir haben drei Tier Level (0 = Identity Server; 1 = Member Server; 2 = Client Endpoints) und
diese Gliederungen werden durch GPOs und Berechtigungen gewärhrleistet.
Die genutzten GPOs, um den Zugriff einzuschränken, sind folgende:
Meine Problematik: Die erste Richtlinie hält den Tier2 (Clients) Administator davon ab, Programme von den File Servern (Memberserver) herunterzuladen. Der Zugriff eines Tier2 Admins darf nicht auf ein Tier1 System gestattet sein. Wie soll ich dennoch auf einem Mitarbeiter-Rechner Software aus unserem Netzwerk ziehen? Kennt ihr das Problem, wie würdet ihr damit umgehen?
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
PS: wir haben aktuell kein Patch Management und sind deshalb Turnschuh-Administratoren.
Schon mal Danke im Voraus!
Beste GRüße
FUHSSrfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670703
Url: https://administrator.de/forum/tier-model-mit-tier2-admin-software-von-tier1-server-installieren-670703.html
Ausgedruckt am: 20.02.2025 um 19:02 Uhr
9 Kommentare
Neuester Kommentar
Hi
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
Sich von einem T2 System mittels T1 an einem höheren System anzumelden Bypass die Security.
Um eigentlich die Angriffsfläche auf allen Clients (ist ja ein T2 Admin) klein zu halten, solltest du besser MS Laps verwenden und die Installation etc mittels lokalem Admin und Generiertem und regelmäßig änderndem Passwort durchführen.
Und ja auch ein Patchmanagement wäre sinnvoll. (Kommt natürlich auf die Anzahl der Clients an).
Mit freundlichen Grüßen Nemesis
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
Sich von einem T2 System mittels T1 an einem höheren System anzumelden Bypass die Security.
Um eigentlich die Angriffsfläche auf allen Clients (ist ja ein T2 Admin) klein zu halten, solltest du besser MS Laps verwenden und die Installation etc mittels lokalem Admin und Generiertem und regelmäßig änderndem Passwort durchführen.
Und ja auch ein Patchmanagement wäre sinnvoll. (Kommt natürlich auf die Anzahl der Clients an).
Mit freundlichen Grüßen Nemesis
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
Genau das soll aber doch ein Tiering System verhindern.Ich würd das auch so machen wie von Nemesis vorgeschlagen. Einfach Readonly freigeben (muss ja auch nicht gemappt sein) und dann mit einem LAPS-Admin (oder einem separaten Admin für die Tier 2 Systeme) installieren.
Bei uns funktioniert dies eigentlich trotz der GPO.
Generell ziehen wir die Software mit dem normalen User Account erstmal lokal auf den PC und installieren dann mit dem T2 Admin.
Zum Thema "run as" mit T1 Admin am T2 Client -> Generell bedeutet das eine Tier Verletzung, da im Tiering Modell nur im jeweiligen Tier Level auch die Anmeldedaten des Tiers eingegeben werden sollte.
Generell ziehen wir die Software mit dem normalen User Account erstmal lokal auf den PC und installieren dann mit dem T2 Admin.
Zum Thema "run as" mit T1 Admin am T2 Client -> Generell bedeutet das eine Tier Verletzung, da im Tiering Modell nur im jeweiligen Tier Level auch die Anmeldedaten des Tiers eingegeben werden sollte.
Zum Thema "run as" mit T1 Admin am T2 Client -> Generell bedeutet das eine Tier Verletzung, da im Tiering Modell nur im jeweiligen Tier Level auch die Anmeldedaten des Tiers eingegeben werden sollte.
Lässt sich aber mittel GPO verhindern 
Und das sollte man auch.
Zitat von @nEmEsIs:
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
Das ist mir schon klar, dass der Tier2 Admin einen NTFS-Zugriff auf den freigegebenen Netzwerk-Ordner benötigt. Der Zugriff ist selbstverständlich auf Domain User eingeschränkt und somit für ihn authorisiert.
Auf dem Client erscheint die Fehlermeldung, dass der genutzte Anmeldetyp (hier Netzwerk) fehlschägt und das wird auf dem Server protokolliert.
Nutzt ihr denn auch folgende Richtlinien? Inbesondere gelb markierte auf Tier1 Systemen?
Denn ohne der gelb markierte läuft es, aber dann ist der Zugriff von einem Tier2 Admin auf einem Tier1 möglich.
Generell ziehen wir die Software mit dem normalen User Account erstmal lokal auf den PC und installieren dann mit dem T2 Admin.
Das würde ja heißen, dass ihr die Software ebenso nicht direkt vom Tier2 Admin vom Netzwerk bezieht. Sondern die Software zuerst über den Mitarbeiter und dann mit Tier2 Admin installiert.
Moin,
Daher stellt sich die Frage/Problem bei uns nicht.
Gruß,
Dani
Das würde ja heißen, dass ihr die Software ebenso nicht direkt vom Tier2 Admin vom Netzwerk bezieht.
bei uns landet alles im Patch-Management ohne Ausnahme. Daher stellt sich die Frage/Problem bei uns nicht.Denn ohne der gelb markierte läuft es, aber dann ist der Zugriff von einem Tier2 Admin auf einem Tier1 möglich.
Wie sehen denn die Allow Regeln bei euch aus?Gruß,
Dani
Wie sehen denn die Allow Regeln bei euch aus?
Welche Allow Regeln meinst du?
Moin,
Gruß,
Dani
Welche Allow Regeln meinst du?
du hast oben einen Screenshot von den Deny Regeln gepostet. Aus dem Kopf heraus meine ich, dass es dazu auch die Allow Regeln gibt.Gruß,
Dani
du hast oben einen Screenshot von den Deny Regeln gepostet. Aus dem Kopf heraus meine ich, dass es dazu auch die Allow Regeln gibt.
Ah achso nein, es gibt für die Deny-Network-Access-Rule keine gegenteilige Regel. Die Regel wäre auch nicht zielführend, da die Deny Regeln priorisiert werden und der Standard (bzw. das nicht Definieren der Deny Regel) eh schon den Zugriff erlaubt.
Ich habe mich erstmal damit zurecht gefunden, die Software über den Mitarbeiter Benutzer zu ziehen, um sie dann über die UAC mit den Tier2 Adminrechten zu installieren.
Danke trotzdem!
