emodson1980
Goto Top

Updates auf Domain Controllern

Hallo Zusammen,
wie geht man am besten vor wenn ums Thema Updates von Domain Controllern (Server 2022) geht, wenn man dazu keine hochprivilegierten Konten verwenden möchte?

Bisher:
WSUS ist vorhanden, Updates werden auf WSUS freigeben, dann RDP auf die DCs und die Updates zeitversetzt per Mausklick installieren und Server neu starten.
-> Problem: Verwendung des Domain-Admin-Kontos nur um Updates zu starten...

Frage:
Kann ich dafür einen weniger privilegierten Account auf den DCs erzeugen, der (per RDP) die Updates triggert? Mir ist bekannt, dass man keine "normalen" lokalen Administratoren auf DCs erstellen kann, oder? Hier komme ich nicht weiter.

Oder sollte ich besser per GPOs die WSUS-Einstellungen auf den DCs ändern auf unterschiedliche Zeiten (gestaffelte Neustarts), und Update-Einstellungen auf "automatisch installieren/neustarten". Den Update-Prozess starte ich dann, indem ich im WSUS die Updates freigebe.

Vielleicht hat hier einer eine Idee wie man es richtig macht ? face-smile
Vielen Dank
Dominik

Content-Key: 9396197091

Url: https://administrator.de/contentid/9396197091

Printed on: May 30, 2024 at 12:05 o'clock

Member: emeriks
emeriks Apr 23, 2024 updated at 12:19:54 (UTC)
Goto Top
Hi,
  1. richtig: Hier gibt es keine lokalen Administratoren. Wenn jemand auch "nur" in die Administratoren-Gruppe kommt, kann er dann alles machen oder sich selbst dazu befähigen.
  2. entweder über GPO und automatisch installieren lassen
  3. oder über eine Dritt-Software, welche per Agent auf dem DC läuft oder mit einem Proxy-User arbeitet. Proxy-User nicht so gut, weil dessen Anmeldedaten ja irgendwo gespeichert sein müssten.

Letzten Punkt könnte man auch selbst per Scheduled Task und PS-Script erschlagen. Wenn irgendwo wie festgelegt eine bestimmte Datei existiert, dann 1. diese Datei löschen, 2. das Update über WSUS starten und 3. abschließen booten.
Diese Datei können "Hilfs-Admins" erstellen.

Allerdings: Diese "Hilfs-Admins" müssten dann auch irgendwie überprüfen können.


E.
Member: emeriks
emeriks Apr 23, 2024 at 12:24:01 (UTC)
Goto Top
@Kraemer
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einem DC benötigt und wie man so etwas minimal delegieren kann.
Member: Kraemer
Kraemer Apr 23, 2024 at 12:26:24 (UTC)
Goto Top
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einen DC benötigt und wie man so etwas minimal delegieren kann.

mist - da fehlt ein ganzer Absatz. Der, in dem erwähnt wird, dass man sowas besser nicht per RDP macht und eine Anleitung, wie man im AD lokale Administratoren anlegt.

Mal sehen, ob ich die Anleitung noch einmal wiederfinde...
Member: pebcak7123
pebcak7123 Apr 23, 2024 at 12:42:15 (UTC)
Goto Top
Zitat von @Kraemer:

Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einen DC benötigt und wie man so etwas minimal delegieren kann.

mist - da fehlt ein ganzer Absatz. Der, in dem erwähnt wird, dass man sowas besser nicht per RDP macht und eine Anleitung, wie man im AD lokale Administratoren anlegt.

Mal sehen, ob ich die Anleitung noch einmal wiederfinde...

Du kannst auf DCs keine lokalen Administratoren anlegen
Member: Kraemer
Kraemer Apr 23, 2024 at 12:54:51 (UTC)
Goto Top
Du kannst auf DCs keine lokalen Administratoren anlegen

ist mir klar - hatte so ne schöne Anleitung zu dem Thema. Server-Operator & Co. ...
Member: ThePinky777
ThePinky777 Apr 23, 2024 at 14:20:35 (UTC)
Goto Top
also ich versteht den krampf nicht, den du veranstalten willst.

die DCs sind pfleglich zu behandeln, und das machen am besten nur Domain Admins,
jeder domain admin hat ja eh seinen Domain Admin Account....

ich würde nie nen Hilfskellner in der Küche arbeiten lassen, also auch keine Hilfsadmin am DC....
Und wenns darum geht das Mr. Domain Admin keine Nachtschicht einlegen will, dann
ist das ja auch nicht das grosse Thema, in der Regel kann man ja immer einen der DCs auch Tagsüber neu starten
ohne Probleme...

Und automatische updates sind auch so ne sache, wenn man riskieren will automatisch seine DCs zu zerlegen...
ja dann lohnt sich sowas schon.

Also ich persönlich seh keinen Nutzen in dem was du machen willst.
Member: Emodson1980
Emodson1980 Apr 23, 2024 at 14:43:09 (UTC)
Goto Top
Hallo,

es geht mir um Risikominimierung. Das Eintippen von Domänen-Admin Passwörtern ist aus meiner Sicht immer riskant und sollte vermieden werden soweit es geht.

Daher die Idee, triviale Dinge wie Windows-Updates davon unabhängig zu machen. Die meisten anderen administrativen Tätigkeiten lassen sich auf andere Konten delegieren, nur hier hänge ich fest.
Member: DerWoWusste
DerWoWusste Apr 23, 2024 at 15:46:54 (UTC)
Goto Top
Gestaffelt neu starten lassen. Wenn du große Angst hast, dass Updates etwas zerstören, fang mit Backups an.

Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.
Member: Emodson1980
Emodson1980 Apr 24, 2024 at 05:38:39 (UTC)
Goto Top
Zitat von @DerWoWusste:

Gestaffelt neu starten lassen. Wenn du große Angst hast, dass Updates etwas zerstören, fang mit Backups an.

Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.

Wegen den gestaffelten Neustarts, ich möchte vermeiden dass alle DC gleichzeitig offline sind.

2FA für Domänenadmins, welche Methode würdest du empfehlen? Smartcard? Drittanbieter?
Member: DerWoWusste
DerWoWusste Apr 24, 2024 at 06:04:56 (UTC)
Goto Top
Ja, gestaffelt ist doch auch mein Vorschlag. GPO setzen und fertig, nichts manuell. Und wenn, dann 2fa z.B. Tipp zur Nutzung von Zweitaccounts unter Windows