gabrielo
Goto Top

Windows Tiering für Dummies

Ich beschäftige mich mit dem Thema Windows Tiering und dabei sind mir einige Fragen aufgekommen. Ich stelle mir folgende Umsetzung vor.

  • Einteilung: Tier0 = DCs; Tier1 = Server; Tier2 = Workstations/Clients;
  • ADGruppen: GT0, GT1, GT2
  • Administratoren Benutzer-Accounts sind Mitglieder der jeweiligen Gruppe, ggf. hat ein Administrator bis zu 3 Accounts (Tier 0-2)
  • Die Administratoren Benutzer Accounts sind Mitglieder der Gruppe "Protected Users"
  • Den Gruppen wird die Beschränkung auferlegt sich nur an Geräten des eigenen Tiers anmelden zu können (über GPOs)

1) Wie erhalten die Benutzeraccounts der Admins ihre administrativen Rechte?
Erhalten sie die Mitgliedschaft in der ADGruppe "DomänenAdmins" und es wird nur die Anmeldung beschränkt oder werden die benötigten Rechte explizit für jede TierGruppe konfiguriert?

2) Können Tier1 Admins ihre Zugangsdaten bei Tier2 Geräten eingeben um beispielsweise eine Programm Installation zu bestätigen. Wenn Ja, würde das nciht auch ein Sicherheitsproblem darstellen, da ja ein Keylogger auf der Maschine laufen könnte?

Freue mich auf eure Erklärung face-smile

Content-ID: 12911447578

Url: https://administrator.de/contentid/12911447578

Printed on: October 6, 2024 at 19:10 o'clock

CH3COOH
CH3COOH Apr 17, 2024 at 15:43:13 (UTC)
Goto Top
Hi,
die Mitgliedschaft Domänen Admins ist nur, wirklich nur, für Administratoren von Domänencontrollern zu verwenden. Alle anderen bekommen das nicht...

Du kannst deine "GT1" Gruppe per Richtlinie in die entsprechenden lokalen Administrator-Gruppen der Maschinen übergeben. Ferne empfiehlt es sich diese Gruppe dann auch mit einem "Login Verboten" zu kombinieren. Wir kreuzen bei uns zum Beispiel privilegierte Serveradmin-Gruppen bei Desktops mit der Sicherheitsvorgabe "Anmelden über Remotedesktopdienste verweigern".

Damit fällt die Option des Anmeldens mit höheren Zugangsdaten direkt flach..

Gruß
incisor2k
incisor2k Apr 17, 2024 at 16:21:54 (UTC)
Goto Top
Gabrielo
Gabrielo Apr 17, 2024 at 18:27:36 (UTC)
Goto Top
Danke für die Antworten,

ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
Th0mKa
Th0mKa Apr 18, 2024 at 03:41:23 (UTC)
Goto Top
Zitat von @Gabrielo:
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.

Du benötigst keine Domain Admin Rechte für Drucker, man muß dafür dann halt mit nem Tier 1 Admin Account (Drucker-) Administrator auf dem Printserver sein.

/Thomas
CH3COOH
CH3COOH Apr 18, 2024 at 07:36:00 (UTC)
Goto Top
Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.

Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.

Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen

Der Guide vom Kollegen ist gut.

Gruß
Gabrielo
Gabrielo Apr 18, 2024 updated at 07:51:43 (UTC)
Goto Top
Zitat von @CH3COOH:

Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.

Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.

Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen

Der Guide vom Kollegen ist gut.

Gruß

Hm tatsächlich konnte ich den Drucker gerade hinzufügen, nachdem ich einen User im AD angelgt hatte und ihn, lokal auf dem Gerät, in die Gruppe der Administratoren geschoben hatte.

Davor hatte es wohl nicht geklappt, weil ich nur den lokalen Administrator probiert hatte.

Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
CH3COOH
CH3COOH Apr 18, 2024 at 08:02:05 (UTC)
Goto Top
Du kannst am Druckserver konfigurieren wer den Drucker verwenden darf.

Wenn der Drucker schon mal bekannt war, ist sein Treiber bekannt.

Folglich solltest du ihn danach ohne Administrator-Rechte verbinden können..

Gruß
Th0mKa
Th0mKa Apr 18, 2024 at 12:50:37 (UTC)
Goto Top
Zitat von @Gabrielo:
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.

Die Gruppe ist dazu da um Drucker zu verwalten, nicht um zu drucken.

Print Operators
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They also can manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.

This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group can't be renamed, deleted, or removed.

/Thomas