11
Updates auf Domain Controllern
Hallo Zusammen,
wie geht man am besten vor wenn ums Thema Updates von Domain Controllern (Server 2022) geht, wenn man dazu keine hochprivilegierten Konten verwenden möchte?
Bisher:
WSUS ist vorhanden, Updates werden auf WSUS freigeben, dann RDP auf die DCs und die Updates zeitversetzt per Mausklick installieren und Server neu starten.
-> Problem: Verwendung des Domain-Admin-Kontos nur um Updates zu starten...
Frage:
Kann ich dafür einen weniger privilegierten Account auf den DCs erzeugen, der (per RDP) die Updates triggert? Mir ist bekannt, dass man keine "normalen" lokalen Administratoren auf DCs erstellen kann, oder? Hier komme ich nicht weiter.
Oder sollte ich besser per GPOs die WSUS-Einstellungen auf den DCs ändern auf unterschiedliche Zeiten (gestaffelte Neustarts), und Update-Einstellungen auf "automatisch installieren/neustarten". Den Update-Prozess starte ich dann, indem ich im WSUS die Updates freigebe.
Vielleicht hat hier einer eine Idee wie man es richtig macht ?
Vielen Dank
Dominik
wie geht man am besten vor wenn ums Thema Updates von Domain Controllern (Server 2022) geht, wenn man dazu keine hochprivilegierten Konten verwenden möchte?
Bisher:
WSUS ist vorhanden, Updates werden auf WSUS freigeben, dann RDP auf die DCs und die Updates zeitversetzt per Mausklick installieren und Server neu starten.
-> Problem: Verwendung des Domain-Admin-Kontos nur um Updates zu starten...
Frage:
Kann ich dafür einen weniger privilegierten Account auf den DCs erzeugen, der (per RDP) die Updates triggert? Mir ist bekannt, dass man keine "normalen" lokalen Administratoren auf DCs erstellen kann, oder? Hier komme ich nicht weiter.
Oder sollte ich besser per GPOs die WSUS-Einstellungen auf den DCs ändern auf unterschiedliche Zeiten (gestaffelte Neustarts), und Update-Einstellungen auf "automatisch installieren/neustarten". Den Update-Prozess starte ich dann, indem ich im WSUS die Updates freigebe.
Vielleicht hat hier einer eine Idee wie man es richtig macht ?
Vielen Dank
Dominik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 9396197091
Url: https://administrator.de/contentid/9396197091
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
Letzten Punkt könnte man auch selbst per Scheduled Task und PS-Script erschlagen. Wenn irgendwo wie festgelegt eine bestimmte Datei existiert, dann 1. diese Datei löschen, 2. das Update über WSUS starten und 3. abschließen booten.
Diese Datei können "Hilfs-Admins" erstellen.
Allerdings: Diese "Hilfs-Admins" müssten dann auch irgendwie überprüfen können.
E.
- richtig: Hier gibt es keine lokalen Administratoren. Wenn jemand auch "nur" in die Administratoren-Gruppe kommt, kann er dann alles machen oder sich selbst dazu befähigen.
- entweder über GPO und automatisch installieren lassen
- oder über eine Dritt-Software, welche per Agent auf dem DC läuft oder mit einem Proxy-User arbeitet. Proxy-User nicht so gut, weil dessen Anmeldedaten ja irgendwo gespeichert sein müssten.
Letzten Punkt könnte man auch selbst per Scheduled Task und PS-Script erschlagen. Wenn irgendwo wie festgelegt eine bestimmte Datei existiert, dann 1. diese Datei löschen, 2. das Update über WSUS starten und 3. abschließen booten.
Diese Datei können "Hilfs-Admins" erstellen.
Allerdings: Diese "Hilfs-Admins" müssten dann auch irgendwie überprüfen können.
E.
Oha,
https://learn.microsoft.com/de-de/troubleshoot/windows-server/system-man ...
https://learn.microsoft.com/en-us/powershell/scripting/security/remoting ...
i.v.m.
https://www.thomas-krampe.com/2022/03/windows-updates-mit-powershell-dur ...
https://www.msxfaq.de/konzepte/adminrechte.htm
nur mal so zum Einstieg
https://learn.microsoft.com/de-de/troubleshoot/windows-server/system-man ...
https://learn.microsoft.com/en-us/powershell/scripting/security/remoting ...
i.v.m.
https://www.thomas-krampe.com/2022/03/windows-updates-mit-powershell-dur ...
https://www.msxfaq.de/konzepte/adminrechte.htm
nur mal so zum Einstieg
@Kraemer
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einem DC benötigt und wie man so etwas minimal delegieren kann.
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einem DC benötigt und wie man so etwas minimal delegieren kann.
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einen DC benötigt und wie man so etwas minimal delegieren kann.
mist - da fehlt ein ganzer Absatz. Der, in dem erwähnt wird, dass man sowas besser nicht per RDP macht und eine Anleitung, wie man im AD lokale Administratoren anlegt.
Mal sehen, ob ich die Anleitung noch einmal wiederfinde...
Zitat von @Kraemer:
mist - da fehlt ein ganzer Absatz. Der, in dem erwähnt wird, dass man sowas besser nicht per RDP macht und eine Anleitung, wie man im AD lokale Administratoren anlegt.
Mal sehen, ob ich die Anleitung noch einmal wiederfinde...
Es geht doch nicht darum, wie man das remote erledigen kann, sondern welche Berechtigungen man dafür auf einen DC benötigt und wie man so etwas minimal delegieren kann.
mist - da fehlt ein ganzer Absatz. Der, in dem erwähnt wird, dass man sowas besser nicht per RDP macht und eine Anleitung, wie man im AD lokale Administratoren anlegt.
Mal sehen, ob ich die Anleitung noch einmal wiederfinde...
Du kannst auf DCs keine lokalen Administratoren anlegen
Du kannst auf DCs keine lokalen Administratoren anlegen
ist mir klar - hatte so ne schöne Anleitung zu dem Thema. Server-Operator & Co. ...
also ich versteht den krampf nicht, den du veranstalten willst.
die DCs sind pfleglich zu behandeln, und das machen am besten nur Domain Admins,
jeder domain admin hat ja eh seinen Domain Admin Account....
ich würde nie nen Hilfskellner in der Küche arbeiten lassen, also auch keine Hilfsadmin am DC....
Und wenns darum geht das Mr. Domain Admin keine Nachtschicht einlegen will, dann
ist das ja auch nicht das grosse Thema, in der Regel kann man ja immer einen der DCs auch Tagsüber neu starten
ohne Probleme...
Und automatische updates sind auch so ne sache, wenn man riskieren will automatisch seine DCs zu zerlegen...
ja dann lohnt sich sowas schon.
Also ich persönlich seh keinen Nutzen in dem was du machen willst.
die DCs sind pfleglich zu behandeln, und das machen am besten nur Domain Admins,
jeder domain admin hat ja eh seinen Domain Admin Account....
ich würde nie nen Hilfskellner in der Küche arbeiten lassen, also auch keine Hilfsadmin am DC....
Und wenns darum geht das Mr. Domain Admin keine Nachtschicht einlegen will, dann
ist das ja auch nicht das grosse Thema, in der Regel kann man ja immer einen der DCs auch Tagsüber neu starten
ohne Probleme...
Und automatische updates sind auch so ne sache, wenn man riskieren will automatisch seine DCs zu zerlegen...
ja dann lohnt sich sowas schon.
Also ich persönlich seh keinen Nutzen in dem was du machen willst.
Hallo,
es geht mir um Risikominimierung. Das Eintippen von Domänen-Admin Passwörtern ist aus meiner Sicht immer riskant und sollte vermieden werden soweit es geht.
Daher die Idee, triviale Dinge wie Windows-Updates davon unabhängig zu machen. Die meisten anderen administrativen Tätigkeiten lassen sich auf andere Konten delegieren, nur hier hänge ich fest.
es geht mir um Risikominimierung. Das Eintippen von Domänen-Admin Passwörtern ist aus meiner Sicht immer riskant und sollte vermieden werden soweit es geht.
Daher die Idee, triviale Dinge wie Windows-Updates davon unabhängig zu machen. Die meisten anderen administrativen Tätigkeiten lassen sich auf andere Konten delegieren, nur hier hänge ich fest.
Gestaffelt neu starten lassen. Wenn du große Angst hast, dass Updates etwas zerstören, fang mit Backups an.
Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.
Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.
1Zitat von @DerWoWusste:
Gestaffelt neu starten lassen. Wenn du große Angst hast, dass Updates etwas zerstören, fang mit Backups an.
Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.
Gestaffelt neu starten lassen. Wenn du große Angst hast, dass Updates etwas zerstören, fang mit Backups an.
Wegen Eingabe des Kennwortes: führe 2FA für Domänenadmins ein, das ist doch nicht schwer.
Wegen den gestaffelten Neustarts, ich möchte vermeiden dass alle DC gleichzeitig offline sind.
2FA für Domänenadmins, welche Methode würdest du empfehlen? Smartcard? Drittanbieter?
Ja, gestaffelt ist doch auch mein Vorschlag. GPO setzen und fertig, nichts manuell. Und wenn, dann 2fa z.B. Tipp zur Nutzung von Zweitaccounts unter Windows
