2
Tier Model: mit Tier2 Admin, Software von Tier1 Server installieren
Guten Morgen zusammen,
ich bin derweil in der Testphase unseres Tier Models auf unserem OnPrem AD.
Wir haben drei Tier Level (0 = Identity Server; 1 = Member Server; 2 = Client Endpoints) und
diese Gliederungen werden durch GPOs und Berechtigungen gewärhrleistet.
Die genutzten GPOs, um den Zugriff einzuschränken, sind folgende:
Meine Problematik: Die erste Richtlinie hält den Tier2 (Clients) Administator davon ab, Programme von den File Servern (Memberserver) herunterzuladen. Der Zugriff eines Tier2 Admins darf nicht auf ein Tier1 System gestattet sein. Wie soll ich dennoch auf einem Mitarbeiter-Rechner Software aus unserem Netzwerk ziehen? Kennt ihr das Problem, wie würdet ihr damit umgehen?
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
PS: wir haben aktuell kein Patch Management und sind deshalb Turnschuh-Administratoren.
Schon mal Danke im Voraus!
Beste GRüße
FUHSSrfe
ich bin derweil in der Testphase unseres Tier Models auf unserem OnPrem AD.
Wir haben drei Tier Level (0 = Identity Server; 1 = Member Server; 2 = Client Endpoints) und
diese Gliederungen werden durch GPOs und Berechtigungen gewärhrleistet.
Die genutzten GPOs, um den Zugriff einzuschränken, sind folgende:
Meine Problematik: Die erste Richtlinie hält den Tier2 (Clients) Administator davon ab, Programme von den File Servern (Memberserver) herunterzuladen. Der Zugriff eines Tier2 Admins darf nicht auf ein Tier1 System gestattet sein. Wie soll ich dennoch auf einem Mitarbeiter-Rechner Software aus unserem Netzwerk ziehen? Kennt ihr das Problem, wie würdet ihr damit umgehen?
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
PS: wir haben aktuell kein Patch Management und sind deshalb Turnschuh-Administratoren.
Schon mal Danke im Voraus!
Beste GRüße
FUHSSrfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670703
Url: https://administrator.de/forum/tier-model-mit-tier2-admin-software-von-tier1-server-installieren-670703.html
Ausgedruckt am: 15.01.2025 um 12:01 Uhr
2 Kommentare
Neuester Kommentar
Hi
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
Sich von einem T2 System mittels T1 an einem höheren System anzumelden Bypass die Security.
Um eigentlich die Angriffsfläche auf allen Clients (ist ja ein T2 Admin) klein zu halten, solltest du besser MS Laps verwenden und die Installation etc mittels lokalem Admin und Generiertem und regelmäßig änderndem Passwort durchführen.
Und ja auch ein Patchmanagement wäre sinnvoll. (Kommt natürlich auf die Anzahl der Clients an).
Mit freundlichen Grüßen Nemesis
gib doch das Share für die Software allen Domain User in Read Only frei.
Dann kannst du im Kontext des Anwenders die Software auf die C Festplatte kopieren und dort dann als T2 Admin ausführen.
Sich von einem T2 System mittels T1 an einem höheren System anzumelden Bypass die Security.
Um eigentlich die Angriffsfläche auf allen Clients (ist ja ein T2 Admin) klein zu halten, solltest du besser MS Laps verwenden und die Installation etc mittels lokalem Admin und Generiertem und regelmäßig änderndem Passwort durchführen.
Und ja auch ein Patchmanagement wäre sinnvoll. (Kommt natürlich auf die Anzahl der Clients an).
Mit freundlichen Grüßen Nemesis
- ich dachte daran, dass man sich auf dem Tier2 Rechner über andere Anmeldedaten ("runs as") am Tier1 Server über SMB anmeldet.
Genau das soll aber doch ein Tiering System verhindern.Ich würd das auch so machen wie von Nemesis vorgeschlagen. Einfach Readonly freigeben (muss ja auch nicht gemappt sein) und dann mit einem LAPS-Admin (oder einem separaten Admin für die Tier 2 Systeme) installieren.
