gabrielo
Goto Top

Windows Tiers (Ebenenmodell) Zugriff Auf Tier 0

Hallo Zusammen,

mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.

Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )

Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.

Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?

Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.

Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?


Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.

Content-ID: 671904

Url: https://administrator.de/forum/windows-tiers-ebenenmodell-zugriff-auf-tier-0-671904.html

Ausgedruckt am: 17.03.2025 um 22:03 Uhr

DerWoWusste
DerWoWusste 12.03.2025 aktualisiert um 19:59:31 Uhr
Goto Top
Moin.

Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Du hast keine Anmeldung verboten. Du hast das Nutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" lediglich verbogen und nicht mehr allen gegeben. Warum Du meinst, das tun zu müssen, ist mir schleierhaft, denn Du brauchst (wie Du schon feststellst) dieses Recht allein schon für den Bezug von GPOs.
Gabrielo
Gabrielo 13.03.2025 aktualisiert um 10:06:48 Uhr
Goto Top
na ja in jedem Tutorial zum Thema Microsoft Unternehmenszugriffsmodell das ich gesichtet habe, war beschrieben, dass den Administratorkonten die folgenden Rechte entzogen werden sollten, für die jeweils anderen Ebenen.

  • Anmelden als Batchauftrag verweigern
  • Anmelden als dienst verweigern
  • Anmelden über terminaldienste verweigern
  • Lokal anmelden verweigern
  • Zugriff vom netzwerk auf diesen computer verweigern

Mal 1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe. Server 22 Tier-Berechtigungskonzept

Natürlich wird nirgends beschrieben, welche Auswirkungen die Deaktivierungen haben außer "Sichercheitszugewinn". Auch Microsoft schreibt, dass der Zugriff ein potentielles Sicherheitsrisiko darestellt und die std. lokalen Administratoren keinen Zugriff erhalten sollten.

Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden.
Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
DerWoWusste
DerWoWusste 13.03.2025 um 12:20:04 Uhr
Goto Top
1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe
Ihh. Ja, schon klar, fordern kann man viel, aber die Folgen siehst Du. Wenn das den Autoren nicht klar ist, dann liegt das vielleicht daran, dass sie für diese Admins gar keine GPOs nutzen und deshalb keine vermissen.
DerWoWusste
DerWoWusste 13.03.2025 aktualisiert um 12:23:27 Uhr
Goto Top
Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden. Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
Ja, die offenen Ports zu den DCs sind bekannt und dokumentiert: Kerberos, DNS und SMB allen voran. SMB sind die Freigaben wie sysvol, natürlich ist das für jeden per Default offen.
DerWoWusste
Lösung DerWoWusste 13.03.2025 aktualisiert um 12:55:45 Uhr
Goto Top
Noch was für Dich, das zeigt, das dieses "Zugriff auf diesen Computer verweigern" sehr untypisch ist: https://blog.ittelligence.com/2017/04/14/active-directory-simple-tier-is ...
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
Gabrielo
Gabrielo 14.03.2025 um 08:35:19 Uhr
Goto Top
Herzichen Dank für die Antworten face-smile
Kannst du mir vielleicht noch gute Literatur zum Thema DC, AD, Sicherheit etc. empfehlen?
Darf gerne trocken sein, desto ausführlicher desto besser face-smile
DerWoWusste
DerWoWusste 14.03.2025 um 09:39:07 Uhr
Goto Top
Da habe ich ohne konkreten Bezug nicht viel zu bieten. https://www.der-windows-papst.de/ hat einiges Gutes zu lesen.
bloodstix
bloodstix 15.03.2025 um 18:41:34 Uhr
Goto Top
Du bist da so reingerutscht? Nett ...
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!