8
Windows Tiering für Dummies
Ich beschäftige mich mit dem Thema Windows Tiering und dabei sind mir einige Fragen aufgekommen. Ich stelle mir folgende Umsetzung vor.
1) Wie erhalten die Benutzeraccounts der Admins ihre administrativen Rechte?
Erhalten sie die Mitgliedschaft in der ADGruppe "DomänenAdmins" und es wird nur die Anmeldung beschränkt oder werden die benötigten Rechte explizit für jede TierGruppe konfiguriert?
2) Können Tier1 Admins ihre Zugangsdaten bei Tier2 Geräten eingeben um beispielsweise eine Programm Installation zu bestätigen. Wenn Ja, würde das nciht auch ein Sicherheitsproblem darstellen, da ja ein Keylogger auf der Maschine laufen könnte?
Freue mich auf eure Erklärung
- Einteilung: Tier0 = DCs; Tier1 = Server; Tier2 = Workstations/Clients;
- ADGruppen: GT0, GT1, GT2
- Administratoren Benutzer-Accounts sind Mitglieder der jeweiligen Gruppe, ggf. hat ein Administrator bis zu 3 Accounts (Tier 0-2)
- Die Administratoren Benutzer Accounts sind Mitglieder der Gruppe "Protected Users"
- Den Gruppen wird die Beschränkung auferlegt sich nur an Geräten des eigenen Tiers anmelden zu können (über GPOs)
1) Wie erhalten die Benutzeraccounts der Admins ihre administrativen Rechte?
Erhalten sie die Mitgliedschaft in der ADGruppe "DomänenAdmins" und es wird nur die Anmeldung beschränkt oder werden die benötigten Rechte explizit für jede TierGruppe konfiguriert?
2) Können Tier1 Admins ihre Zugangsdaten bei Tier2 Geräten eingeben um beispielsweise eine Programm Installation zu bestätigen. Wenn Ja, würde das nciht auch ein Sicherheitsproblem darstellen, da ja ein Keylogger auf der Maschine laufen könnte?
Freue mich auf eure Erklärung
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12911447578
Url: https://administrator.de/contentid/12911447578
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
8 Kommentare
Neuester Kommentar
Hi,
die Mitgliedschaft Domänen Admins ist nur, wirklich nur, für Administratoren von Domänencontrollern zu verwenden. Alle anderen bekommen das nicht...
Du kannst deine "GT1" Gruppe per Richtlinie in die entsprechenden lokalen Administrator-Gruppen der Maschinen übergeben. Ferne empfiehlt es sich diese Gruppe dann auch mit einem "Login Verboten" zu kombinieren. Wir kreuzen bei uns zum Beispiel privilegierte Serveradmin-Gruppen bei Desktops mit der Sicherheitsvorgabe "Anmelden über Remotedesktopdienste verweigern".
Damit fällt die Option des Anmeldens mit höheren Zugangsdaten direkt flach..
Gruß
die Mitgliedschaft Domänen Admins ist nur, wirklich nur, für Administratoren von Domänencontrollern zu verwenden. Alle anderen bekommen das nicht...
Du kannst deine "GT1" Gruppe per Richtlinie in die entsprechenden lokalen Administrator-Gruppen der Maschinen übergeben. Ferne empfiehlt es sich diese Gruppe dann auch mit einem "Login Verboten" zu kombinieren. Wir kreuzen bei uns zum Beispiel privilegierte Serveradmin-Gruppen bei Desktops mit der Sicherheitsvorgabe "Anmelden über Remotedesktopdienste verweigern".
Damit fällt die Option des Anmeldens mit höheren Zugangsdaten direkt flach..
Gruß
1
Kann zum besseren Verständnis nur Franky empfehlen...
www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/
www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad-teil-3-admin-tiers/
Danke für die Antworten,
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
Zitat von @Gabrielo:
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
ich verstehe dann nur nicht wie weiterhin arbeiten erledigt werden können, die Domänenrechte benötigen.
Z.B. das hinzufügen eines Netzwerkdruckers.
Du benötigst keine Domain Admin Rechte für Drucker, man muß dafür dann halt mit nem Tier 1 Admin Account (Drucker-) Administrator auf dem Printserver sein.
/Thomas
1
Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
1Zitat von @CH3COOH:
Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
Um eine Drucker von einem Windows Druckserver hinzuzufügen wird erstmal kein Administrator benötigt. Das kann der Anwender bei sauberer Konfiguration alleine.
Wenn es um die Installation des Drucker-Treibers geht: Diese kann man über Softwareverteilung, Gruppenrichtlinien und viele andere Wege bereitstellen.
Eventuell alternativ hier nochmal reinschauen:
Profil-Konto-Credentials eines Domänen Administrators auf Clients löschen
Der Guide vom Kollegen ist gut.
Gruß
Hm tatsächlich konnte ich den Drucker gerade hinzufügen, nachdem ich einen User im AD angelgt hatte und ihn, lokal auf dem Gerät, in die Gruppe der Administratoren geschoben hatte.
Davor hatte es wohl nicht geklappt, weil ich nur den lokalen Administrator probiert hatte.
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
Du kannst am Druckserver konfigurieren wer den Drucker verwenden darf.
Wenn der Drucker schon mal bekannt war, ist sein Treiber bekannt.
Folglich solltest du ihn danach ohne Administrator-Rechte verbinden können..
Gruß
Wenn der Drucker schon mal bekannt war, ist sein Treiber bekannt.
Folglich solltest du ihn danach ohne Administrator-Rechte verbinden können..
Gruß
Zitat von @Gabrielo:
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
Ich frage mich dann wofür die Domänengruppe "Drucker Operatoren" gut ist, wenn eine Mitgliedschaft darin nicht benötigt wird um Drucker vom Printserver zu installieren.
Die Gruppe ist dazu da um Drucker zu verwalten, nicht um zu drucken.
Print Operators
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They also can manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.
This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group can't be renamed, deleted, or removed.
Members of this group can manage, create, share, and delete printers that are connected to domain controllers in the domain. They also can manage Active Directory printer objects in the domain. Members of this group can locally sign in to and shut down domain controllers in the domain.
This group has no default members. Because members of this group can load and unload device drivers on all domain controllers in the domain, add users with caution. This group can't be renamed, deleted, or removed.
/Thomas
1
