14
AD-Admin mit beschränkten Rechten möglich?
Hallo,
ich möchte einen Mitarbeiter neu einsetzen in der IT-Grundadministration der AD-Umgebung (SRV19++, Exchg.19, VEEAM).
Er soll die klassischen Tages-Dinge eines Admin können, also User-Admin/gucken-ob-Veeam-zickt/Restore_via_Veeam/Sophos-UTM-Admin/..... - also eigentlich klassisch DomAdm
Er soll aber eines nicht können: ein bestimmtes Verzeichnis bzw. dessen Inhalte lesen (GF).
Mir ist nur unklar wie man das machen soll: bekommt er die nötigen DomAdm-Rechte, kann er jeden User kapern und mit dessen Account (wenn bei diesem Account erlaubt wie bei der GF oder dem BackupService-User) in dem GF-DIR lesen - auch wenn ich ihn explizit dort ausperren würde.
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
ich möchte einen Mitarbeiter neu einsetzen in der IT-Grundadministration der AD-Umgebung (SRV19++, Exchg.19, VEEAM).
Er soll die klassischen Tages-Dinge eines Admin können, also User-Admin/gucken-ob-Veeam-zickt/Restore_via_Veeam/Sophos-UTM-Admin/..... - also eigentlich klassisch DomAdm
Er soll aber eines nicht können: ein bestimmtes Verzeichnis bzw. dessen Inhalte lesen (GF).
Mir ist nur unklar wie man das machen soll: bekommt er die nötigen DomAdm-Rechte, kann er jeden User kapern und mit dessen Account (wenn bei diesem Account erlaubt wie bei der GF oder dem BackupService-User) in dem GF-DIR lesen - auch wenn ich ihn explizit dort ausperren würde.
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5550390129
Url: https://administrator.de/contentid/5550390129
Printed on: June 2, 2024 at 21:06 o'clock
14 Comments
Latest comment
Mahlzeit,
da hilft nur eins: Der GF klarmachen, dass das so nicht geht weil wie du richtig sagst, gibts immer einen Weg "drumrum".
Btw. sind die genannten Aufgaben keine klassischen DomAdmin aufgaben. Der DomAdmin wird nur zur Verwaltung der DCs (raufstufen, demote) verwendet und sonst NICHT. Für den Rest wird ein dedizierter Adminuser mit den benötigten Rechten erstellt.
da hilft nur eins: Der GF klarmachen, dass das so nicht geht weil wie du richtig sagst, gibts immer einen Weg "drumrum".
Btw. sind die genannten Aufgaben keine klassischen DomAdmin aufgaben. Der DomAdmin wird nur zur Verwaltung der DCs (raufstufen, demote) verwendet und sonst NICHT. Für den Rest wird ein dedizierter Adminuser mit den benötigten Rechten erstellt.
mininik, klar du hast recht: dazu braucht es sich keinen DomAdm.
Aber der "dedizierte Adminuser" kommt genauso drumrum.
Mich interessiert einfach, ob ich a. was übersehe wie es gehen könnte und b. wie es in anderen Firmen läuft.
Früher war ich mal DV-Leiter in einer Firma, wo die GF die Löhne der Leitenden auf einem dedizierten Laptop machte der nie am Netz war und nur einmal im Monat aus dem Tresor kam. Das kanns doch aber nicht sein....
Aber der "dedizierte Adminuser" kommt genauso drumrum.
Mich interessiert einfach, ob ich a. was übersehe wie es gehen könnte und b. wie es in anderen Firmen läuft.
Früher war ich mal DV-Leiter in einer Firma, wo die GF die Löhne der Leitenden auf einem dedizierten Laptop machte der nie am Netz war und nur einmal im Monat aus dem Tresor kam. Das kanns doch aber nicht sein....
Der wunderbare Franky hat nen guten Artikel über Admintiering geschrieben. Vielleicht hilft dir das schon weiter. https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
Bei meinem alten AG ließ es sich kaum vermeiden, dass sehr viele Admins auch DomAdmins waren. Es gab daher eine Monitoringsoftware (AD Audit), die alle relevanten Änderungen an der AD protokolliert hat und ggf. bei bestimmten Änderungen auch direkt Alarm beim Management ausgelöst hat.
Bei meinem alten AG ließ es sich kaum vermeiden, dass sehr viele Admins auch DomAdmins waren. Es gab daher eine Monitoringsoftware (AD Audit), die alle relevanten Änderungen an der AD protokolliert hat und ggf. bei bestimmten Änderungen auch direkt Alarm beim Management ausgelöst hat.
Hallo,
relevantes Verzeichnis bzw. relevante Dateien verschlüsseln.
Ohne Schlüssel kein Zugang.
Jürgen
PS. Sicherheit erfordert immer höheren Bedienaufwand. Ist nun mal so.
relevantes Verzeichnis bzw. relevante Dateien verschlüsseln.
Ohne Schlüssel kein Zugang.
Jürgen
PS. Sicherheit erfordert immer höheren Bedienaufwand. Ist nun mal so.
Moin...
also wenn ich Veeam kontrolieren darf, kann ich auch ein restore machen
du kannst das verzeichnis aber verschlüsseln.... und dich selber ums backup kümmern!
Frank
also wenn ich Veeam kontrolieren darf, kann ich auch ein restore machen
du kannst das verzeichnis aber verschlüsseln.... und dich selber ums backup kümmern!
Frank
Guten Morgen
Eine Verschlüsselung kann nie falsch sein.
Eine Verschlüsselung kann nie falsch sein.
Da sehe ich nur eine sinnvolle Möglichkeit wenn es kein Weg vorbei geht. Eine separate AD für GF mit unidirektionalem Trust im selben Forest.
Aber wenn man Zugriff auf Veeam hat, kann man natürlich auch was machen, ist aber ungleich schwerer und da muss man schon wirklich böse Absichten haben.
Aber wenn man Zugriff auf Veeam hat, kann man natürlich auch was machen, ist aber ungleich schwerer und da muss man schon wirklich böse Absichten haben.
Verschlüsselen kam mir auch schon in den Sinn:
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
Zitat von @winacker:
Verschlüsseln kam mir auch schon in den Sinn:
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
Verschlüsseln kam mir auch schon in den Sinn:
gibt es da nix, was ein Verzeichnis in Gänze verschlüsselt und wegen mir als Container darstellt?
Zugriff transparent von Windows aus, in dem man einmal täglich beim ersten Zugriff ein PW eingibt, dann sieht man sein DIR?
Alle anderen incl. VEEAM können da machen was sie wollen, auch backup/restore, nur nix sinnvolles lesen
Du könntest einen Bitlocker VHDX Container mit Powershell nutzen.
Musst so eigenttlich nur das PowershellScript bei der Anmeldung ausführen, Passwort abfragen und den Container mounten
Hilfreich könnte diese Anleitung sein: https://www.croix.at/blog/daten-verschlusselt-im-container-speichern/
BitlockerContainer per Powershell als als separates Laufwerk einbinden
Musst so eigenttlich nur das PowershellScript bei der Anmeldung ausführen, Passwort abfragen und den Container mounten
Hilfreich könnte diese Anleitung sein: https://www.croix.at/blog/daten-verschlusselt-im-container-speichern/
BitlockerContainer per Powershell als als separates Laufwerk einbinden
Zitat von @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Hallo!
Grundsätzlich würde ich mal weg von der Technik gehen und mir die Frage stellen, ob man den Admins Vertrauen schenkt. Admins haben immer einen anderen Stellenwert als der normale Sachbearbeiter der z.B. Angebote erstellt. Es besteht immer ein Weg, sich Zugang zu Informationen zu beschaffen - mal fällt es sofort auf, mal später. Wenn der GF seinen Urlaub beginnt, Passwort ändern, reinschauen, am Ende des Urlaubs hat er anscheinend sein Passwort vergessen ... Kontrolle ist gut, Vertrauen ist besser.
Wird bei euch denn mit einem entsprechenden Rollen- und Rechtekonzept gearbeitet?
Zitat von @MaxCalifornia:
Zitat von @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Nein, gibts nicht.
Ich sehe Daten von allen Kunden und deren Geschäftsführer wenn ich mag, nur es interessiert eigenlich nicht, was da drinn steht. Dann muss er halt seine sensiblen Daten auf eine ext Platte speichern und mit nach Hause nehmen.
Würde sagen, wenn der GF kein Vertrauen in seinen Admin hat, sollte man sich Gedanken machen .. und sich um andere Firma umsehen.
1
Quote from @winacker:
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Wie wird sowas bei Euch gehandhabt, es gibt doch in jeder Firma Daten, die die Admins nicht unbedingt sehen brauchen ...
Danke Euch!
Servus,
unsere Administratoren bekommen einen erweiterten AV / zusätzlichen AV mit Hinweisen und Klausen dies bezüglich.
In dieser Erweiterung ist der zuständige Admin verpflichtet, doppelte und dreifache Verschwiegenheit zu gewährleisten. Das muss der Admin unterschreiben.
Es ist in der Vergangenheit zu oft vorgekommen, dass der "Ich darf alles Admin", krank oder im Urlaub war und die anderen Admin's nicht helfen konnten. (Bezieht sich jedoch nur auf die unterschiedlichen Standorte).
OT: IMHO ist es mir egal, was ich sehe und was nicht. Ich bin nur da, um meine Arbeit zu erledigen und nicht irgendwelche Mails von der GF, wenn ich mal am Platz bin, zu lesen oder so... aber just my 2 cent.
Danke Euch;
war mir fast klar dass dies eine Diskussion in Richtung "Admin ist per se 'unfehlbar' und nie neugierig und vertraulich sowieso" auslösen würde
Aber die Realität ist nicht überall so ideal und Gelegenheit macht Diebe - warum also die Versuchung offen feilbieten?
---
Meine Sammlung möglicher Lösungen:
Krypting aller Art kann ich ausschließen, geht nicht im Netz mit mehreren Usern zugleich und ich trau dem Geraffel nie zu 100% obs nicht doch irgendwann behauptet "Passwort falsch".
Es bleibt:
a. entweder Dateien selber verschlüsseln mit z.B. MS-Bordmitteln
b. Ein DIR einrichten wo keiner ausser der GF rein darf und der muß sich ums Backup selber kümmern (irgendwas mit ext. HDD und Acronis)
Schöne Pfingsttage euch
war mir fast klar dass dies eine Diskussion in Richtung "Admin ist per se 'unfehlbar' und nie neugierig und vertraulich sowieso" auslösen würde
Aber die Realität ist nicht überall so ideal und Gelegenheit macht Diebe - warum also die Versuchung offen feilbieten?
---
Meine Sammlung möglicher Lösungen:
Krypting aller Art kann ich ausschließen, geht nicht im Netz mit mehreren Usern zugleich und ich trau dem Geraffel nie zu 100% obs nicht doch irgendwann behauptet "Passwort falsch".
Es bleibt:
a. entweder Dateien selber verschlüsseln mit z.B. MS-Bordmitteln
b. Ein DIR einrichten wo keiner ausser der GF rein darf und der muß sich ums Backup selber kümmern (irgendwas mit ext. HDD und Acronis)
Schöne Pfingsttage euch