gabrielo
Goto Top

Windows Tiers (Ebenenmodell) Zugriff Auf Tier 0

Hallo Zusammen,

mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.

Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )

Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.

Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?

Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.

Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?


Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.

Content-ID: 671904

Url: https://administrator.de/forum/windows-tiers-ebenenmodell-zugriff-auf-tier-0-671904.html

Ausgedruckt am: 12.04.2025 um 18:04 Uhr

DerWoWusste
DerWoWusste 12.03.2025 aktualisiert um 19:59:31 Uhr
Goto Top
Moin.

Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Du hast keine Anmeldung verboten. Du hast das Nutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" lediglich verbogen und nicht mehr allen gegeben. Warum Du meinst, das tun zu müssen, ist mir schleierhaft, denn Du brauchst (wie Du schon feststellst) dieses Recht allein schon für den Bezug von GPOs.
Gabrielo
Gabrielo 13.03.2025 aktualisiert um 10:06:48 Uhr
Goto Top
na ja in jedem Tutorial zum Thema Microsoft Unternehmenszugriffsmodell das ich gesichtet habe, war beschrieben, dass den Administratorkonten die folgenden Rechte entzogen werden sollten, für die jeweils anderen Ebenen.

  • Anmelden als Batchauftrag verweigern
  • Anmelden als dienst verweigern
  • Anmelden über terminaldienste verweigern
  • Lokal anmelden verweigern
  • Zugriff vom netzwerk auf diesen computer verweigern

Mal 1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe. Server 22 Tier-Berechtigungskonzept

Natürlich wird nirgends beschrieben, welche Auswirkungen die Deaktivierungen haben außer "Sichercheitszugewinn". Auch Microsoft schreibt, dass der Zugriff ein potentielles Sicherheitsrisiko darestellt und die std. lokalen Administratoren keinen Zugriff erhalten sollten.

Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden.
Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
DerWoWusste
DerWoWusste 13.03.2025 um 12:20:04 Uhr
Goto Top
1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe
Ihh. Ja, schon klar, fordern kann man viel, aber die Folgen siehst Du. Wenn das den Autoren nicht klar ist, dann liegt das vielleicht daran, dass sie für diese Admins gar keine GPOs nutzen und deshalb keine vermissen.
DerWoWusste
DerWoWusste 13.03.2025 aktualisiert um 12:23:27 Uhr
Goto Top
Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden. Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
Ja, die offenen Ports zu den DCs sind bekannt und dokumentiert: Kerberos, DNS und SMB allen voran. SMB sind die Freigaben wie sysvol, natürlich ist das für jeden per Default offen.
DerWoWusste
Lösung DerWoWusste 13.03.2025 aktualisiert um 12:55:45 Uhr
Goto Top
Noch was für Dich, das zeigt, das dieses "Zugriff auf diesen Computer verweigern" sehr untypisch ist: https://blog.ittelligence.com/2017/04/14/active-directory-simple-tier-is ...
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
Gabrielo
Gabrielo 14.03.2025 um 08:35:19 Uhr
Goto Top
Herzichen Dank für die Antworten face-smile
Kannst du mir vielleicht noch gute Literatur zum Thema DC, AD, Sicherheit etc. empfehlen?
Darf gerne trocken sein, desto ausführlicher desto besser face-smile
DerWoWusste
DerWoWusste 14.03.2025 um 09:39:07 Uhr
Goto Top
Da habe ich ohne konkreten Bezug nicht viel zu bieten. https://www.der-windows-papst.de/ hat einiges Gutes zu lesen.
bloodstix
bloodstix 15.03.2025 um 18:41:34 Uhr
Goto Top
Du bist da so reingerutscht? Nett ...
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!
Gabrielo
Gabrielo 18.03.2025 aktualisiert um 22:54:32 Uhr
Goto Top
Na ja, ich habe Informatik studiert und bin aus einer Studierendenstelle im First-Level-Support in eine Vollzeitstelle gewechselt. Ich habe mir bisher die Ausbildungsbücher zum Fachinformatiker für Systemadministration ausgeliehen und durchgearbeitet. Die CompTIA-Reihe (A+, Network+, Server+, Security+) habe ich neben einigen Büchern vom Rheinwerk Verlag ebenfalls durch. Nebenbei lese ich Fachbücher zum Thema IT-Security (aktuell Cyber Operations: Building, Defending, and Attacking Modern Computer Networks von Mike O’Leary).

Die bisherige Literatur mag gut für ein anfängliches Verständnis sein, aber für eine produktive Umsetzung fehlen mir tatsächlich die fundierten Kenntnisse.

Was ich gerne hätte, sind Handlungsempfehlungen und Best Practices, die im Idealfall detailliert erklärt werden, denn Ich möchte natürlich absehen können, welche Auswirkungen eine Änderung bewirkt.

Ich überlege als Nächstes, Microsoft Windows Server 2022 – Das Handbuch von Thomas Joos zu kaufen (die Version für 2025 ist noch nicht verfügbar). Allerdings frage ich mich, ob es tiefgründig genug ist oder ob ich nur eine weitere Anleitung bekomme, wie ich einen Domänencontroller aufsetze …


Ich hätte an sich auch nichts gegen eine Fort- oder Weiterbildung, allerdings stehe ich dem Thema nach der Sichtung der ganzen 3.500–4.000 € teuren Security-Weiterbildungen eher skeptisch gegenüber. Denn wer 24 Security-Themen in drei Tagen abarbeiten möchte, kann nicht tiefgründiger sein als ein YouTube-Video zu dem Thema.

Was Backups angeht, so werden diese stündlich bzw. täglich gemacht ;)
bloodstix
bloodstix 18.03.2025 aktualisiert um 23:42:46 Uhr
Goto Top
Also ein guten Tipp den ich dir geben kann: Bücher sind was IT angeht leider seltenst aktuell. Im Internet findest du - meist sogar kostenlos - allen Lesestoff den du brauchst. Du darfst nur nicht den Fehler machen da zu akademisch dranzugehen.
Handlungsempfehlungen o. Best Practices suchst du dir am besten immer für den speziellen Anwendungsfall. Du wirst keine umfassende Allgemeinliteratur finden die dir eine MS-Domäne und sämtliche tausende Arten der Konfigurationsmöglichkeiten schlüssig und zusammenpassend erklärt. Dafür gibts da einfach zuviel.

Zukünftige Projekte würd ich stück für stück angehen. Anforderungen erfassen, IST/SOLL-Vergleich, funktionierendes (!) BACKUP sicherstellen. Downtime einkalkulieren - Ablauf planen, ggf. in ner Testumgebung evaluieren. Künstlicher Zeitdruck ist mist: es dauert, solange es dauert sonst kommt am Ende Fusch raus.