Windows Tiering für Dummies
Ich beschäftige mich mit dem Thema Windows Tiering und dabei sind mir einige Fragen aufgekommen. Ich stelle mir folgende Umsetzung vor.
1) Wie erhalten die Benutzeraccounts der Admins ihre administrativen Rechte?
Erhalten sie die Mitgliedschaft in der ADGruppe "DomänenAdmins" und es wird nur die Anmeldung beschränkt oder werden die benötigten Rechte explizit für jede TierGruppe konfiguriert?
2) Können Tier1 Admins ihre Zugangsdaten bei Tier2 Geräten eingeben um beispielsweise eine Programm Installation zu bestätigen. Wenn Ja, würde das nciht auch ein Sicherheitsproblem darstellen, da ja ein Keylogger auf der Maschine laufen könnte?
Freue mich auf eure Erklärung
- Einteilung: Tier0 = DCs; Tier1 = Server; Tier2 = Workstations/Clients;
- ADGruppen: GT0, GT1, GT2
- Administratoren Benutzer-Accounts sind Mitglieder der jeweiligen Gruppe, ggf. hat ein Administrator bis zu 3 Accounts (Tier 0-2)
- Die Administratoren Benutzer Accounts sind Mitglieder der Gruppe "Protected Users"
- Den Gruppen wird die Beschränkung auferlegt sich nur an Geräten des eigenen Tiers anmelden zu können (über GPOs)
1) Wie erhalten die Benutzeraccounts der Admins ihre administrativen Rechte?
Erhalten sie die Mitgliedschaft in der ADGruppe "DomänenAdmins" und es wird nur die Anmeldung beschränkt oder werden die benötigten Rechte explizit für jede TierGruppe konfiguriert?
2) Können Tier1 Admins ihre Zugangsdaten bei Tier2 Geräten eingeben um beispielsweise eine Programm Installation zu bestätigen. Wenn Ja, würde das nciht auch ein Sicherheitsproblem darstellen, da ja ein Keylogger auf der Maschine laufen könnte?
Freue mich auf eure Erklärung
Please also mark the comments that contributed to the solution of the article
Content-ID: 12911447578
Url: https://administrator.de/contentid/12911447578
Printed on: October 6, 2024 at 19:10 o'clock
8 Comments
Latest comment
Hi,
die Mitgliedschaft Domänen Admins ist nur, wirklich nur, für Administratoren von Domänencontrollern zu verwenden. Alle anderen bekommen das nicht...
Du kannst deine "GT1" Gruppe per Richtlinie in die entsprechenden lokalen Administrator-Gruppen der Maschinen übergeben. Ferne empfiehlt es sich diese Gruppe dann auch mit einem "Login Verboten" zu kombinieren. Wir kreuzen bei uns zum Beispiel privilegierte Serveradmin-Gruppen bei Desktops mit der Sicherheitsvorgabe "Anmelden über Remotedesktopdienste verweigern".
Damit fällt die Option des Anmeldens mit höheren Zugangsdaten direkt flach..
Gruß
die Mitgliedschaft Domänen Admins ist nur, wirklich nur, für Administratoren von Domänencontrollern zu verwenden. Alle anderen bekommen das nicht...
Du kannst deine "GT1" Gruppe per Richtlinie in die entsprechenden lokalen Administrator-Gruppen der Maschinen übergeben. Ferne empfiehlt es sich diese Gruppe dann auch mit einem "Login Verboten" zu kombinieren. Wir kreuzen bei uns zum Beispiel privilegierte Serveradmin-Gruppen bei Desktops mit der Sicherheitsvorgabe "Anmelden über Remotedesktopdienste verweigern".
Damit fällt die Option des Anmeldens mit höheren Zugangsdaten direkt flach..
Gruß
Kann zum besseren Verständnis nur Franky empfehlen...
www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/
www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/
Zitat von @Gabrielo:
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
Du benötigst keine Domain Admin Rechte für Drucker, man muß dafür dann halt mit nem Tier 1 Admin Account (Drucker-) Administrator auf dem Printserver sein.
/Thomas
Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
Zitat von @Gabrielo:
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
Die Gruppe ist dazu da um Drucker zu verwalten, nicht um zu drucken.
Print Operators
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They also can manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.
This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group can't be renamed, deleted, or removed.
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They also can manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.
This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group can't be renamed, deleted, or removed.
/Thomas