Windows Tiers (Ebenenmodell) Zugriff Auf Tier 0
Hallo Zusammen,
mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.
Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )
Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.
Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?
Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.
Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?
Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.
mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.
Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )
Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.
Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?
Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.
Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?
Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671904
Url: https://administrator.de/forum/windows-tiers-ebenenmodell-zugriff-auf-tier-0-671904.html
Ausgedruckt am: 12.04.2025 um 18:04 Uhr
10 Kommentare
Neuester Kommentar
Moin.
Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Du hast keine Anmeldung verboten. Du hast das Nutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" lediglich verbogen und nicht mehr allen gegeben. Warum Du meinst, das tun zu müssen, ist mir schleierhaft, denn Du brauchst (wie Du schon feststellst) dieses Recht allein schon für den Bezug von GPOs.Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden. Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
Ja, die offenen Ports zu den DCs sind bekannt und dokumentiert: Kerberos, DNS und SMB allen voran. SMB sind die Freigaben wie sysvol, natürlich ist das für jeden per Default offen.
Noch was für Dich, das zeigt, das dieses "Zugriff auf diesen Computer verweigern" sehr untypisch ist: https://blog.ittelligence.com/2017/04/14/active-directory-simple-tier-is ...
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
Da habe ich ohne konkreten Bezug nicht viel zu bieten. https://www.der-windows-papst.de/ hat einiges Gutes zu lesen.
Du bist da so reingerutscht? Nett ...
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!
Also ein guten Tipp den ich dir geben kann: Bücher sind was IT angeht leider seltenst aktuell. Im Internet findest du - meist sogar kostenlos - allen Lesestoff den du brauchst. Du darfst nur nicht den Fehler machen da zu akademisch dranzugehen.
Handlungsempfehlungen o. Best Practices suchst du dir am besten immer für den speziellen Anwendungsfall. Du wirst keine umfassende Allgemeinliteratur finden die dir eine MS-Domäne und sämtliche tausende Arten der Konfigurationsmöglichkeiten schlüssig und zusammenpassend erklärt. Dafür gibts da einfach zuviel.
Zukünftige Projekte würd ich stück für stück angehen. Anforderungen erfassen, IST/SOLL-Vergleich, funktionierendes (!) BACKUP sicherstellen. Downtime einkalkulieren - Ablauf planen, ggf. in ner Testumgebung evaluieren. Künstlicher Zeitdruck ist mist: es dauert, solange es dauert sonst kommt am Ende Fusch raus.
Handlungsempfehlungen o. Best Practices suchst du dir am besten immer für den speziellen Anwendungsfall. Du wirst keine umfassende Allgemeinliteratur finden die dir eine MS-Domäne und sämtliche tausende Arten der Konfigurationsmöglichkeiten schlüssig und zusammenpassend erklärt. Dafür gibts da einfach zuviel.
Zukünftige Projekte würd ich stück für stück angehen. Anforderungen erfassen, IST/SOLL-Vergleich, funktionierendes (!) BACKUP sicherstellen. Downtime einkalkulieren - Ablauf planen, ggf. in ner Testumgebung evaluieren. Künstlicher Zeitdruck ist mist: es dauert, solange es dauert sonst kommt am Ende Fusch raus.