informatikkfm
Jul 26, 2019 at 09:14:40 (UTC)
view7962
view7
0
Goto Top

Anmeldung des Domänen-Administrators auf Arbeitsplätzen verhindern

GermanQuestionWindows ServerMicrosoft
Guten Morgen,

wir wollen die Anmeldung von vers. Benutzern, u.a. auch der Domänen-Administrator, auf den Arbeitsplätzen verhindern.
Für einen alternativen Zugriff haben wir bereits LAPS installiert und konfiguriert, falls lokal Tätigkeiten zu erfüllen sind.

Was wäre nun der beste Weg um dies zu verhindern?
Ich hätte eine Gruppe in der AD konfiguriert, wo ich unter anderem den Domain-Administrator hinzufüge.

Diese Gruppe würde ich in einer Gruppenrichtlinie verwenden, die "Anmelden als Dienst", "Lokal anmelden" und "Anmeldung via Remotedesktopdienste" verweigert.
Die erzeugte Gruppenrichtlinie linke ich dann an die OUs, in der sich die Arbeitsplätze befinden.

Stolpersteine?

Grüße
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 477956

Url: https://administrator.de/contentid/477956

Printed on: April 20, 2024 at 11:04 o'clock

7 Comments
Latest comment
Goto Top
Member: emeriks
emeriks Jul 26, 2019 updated at 09:43:46 (UTC)
Goto Top
Zitat von @informatikkfm:
Stolpersteine?
Ein Domänen-Admin kann
  • sich jederzeit wieder aus dieser Gruppe entfernen
  • kann diese GPO beeinflussen
  • kann, wenn er weiterhin Mitglied der lokalen Administratoren ist, aus der Ferne die Einstellungen dieses Clients beeinflussen

Lösung:
Nutze nicht die "Domänen-Admins".
Erteile den Benutzern dediziert nur jene Rechte, welche sie benötigen. Dazu kann auch gehören, Benutzer und/oder Computer zu verwalten. Dafür mus man kein Domänenadmin sein.

E.
Member: NetzwerkDude
NetzwerkDude Jul 26, 2019 updated at 09:45:28 (UTC)
Goto Top
Glaube dem TO gehts in erster linie darum das sowas nicht "versehentlich" passiert, um nicht Domain-Admin Credentials auf fauligen Clients zu verteilen - im Zuge von einem Tier design:

https://blogs.technet.microsoft.com/askpfeplat/2017/10/31/protecting-dom ...

Interessant in dem Link sicher diese Schritte:
Deny Domain and Enterprise Administrators from authenticating to Tier 1 and Tier 2 assets via GPO:

Deny logon via RDP
https://technet.microsoft.com/en-us/library/dn221959(v=ws.11).aspx
Deny logon as a batch job
https://technet.microsoft.com/en-us/library/cc976547.aspx
Deny logon as a service
https://technet.microsoft.com/en-us/library/cc957038.aspx
Deny access to the computer from the network
https://technet.microsoft.com/en-us/library/dn221954(v=ws.11).aspx
Deny logon locally
https://technet.microsoft.com/en-us/library/cc957048.aspx

Aber denke so wie es der TO schreibt müsste es i.O. sein
Member: DerWoWusste
DerWoWusste Jul 26, 2019 at 09:48:51 (UTC)
Goto Top
Hier wird das Konzept beschrieben samt Umsetzung: https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Member: lcer00
lcer00 Jul 26, 2019 at 10:24:11 (UTC)
Goto Top
Hallo,

Alternativ kann man auch die Logins protokollieren und draufhauen.

Grüße

lcer
Member: NetzwerkDude
NetzwerkDude Jul 26, 2019 at 11:22:38 (UTC)
Goto Top
mh, dann ist es zu spät (die Malware auf dem Client könnte schon die Zugangsdaten gesnatcht haben) , am besten soll der Login gar nicht erfolgen, per Policy - daher ist der Ansatz vom TO bzw. Der WoWusste schon richtig
Member: informatikkfm
informatikkfm Aug 01, 2019 at 13:32:26 (UTC)
Goto Top
Ich habe jetzt ein ähnliches Konstrukt aufgebaut, wie es Microsoft vorsieht.
Über die Klassifizierung von Tiers.

Dazu habe ich drei Tiers erstellt, Tier 0, Tier 1 und Tier 2.
Tier 0 ist für die Verwaltung von AD, Tier 1 für Applikationsserver und Tier 2 für die Client-Administration.
Das ist aber nur ganz grob erklärt.

Nun habe ich eine GPO erstellt, die auf eine Test-OU wirkt, wo aktuell vers. Clients enthalten sind.
Dort habe ich hinterlegt, dass Tier0 und Tier1 sich nicht lokal, via RDP, Batch, Taskplaner, usw. anmelden darf.

Damit ich mich nicht verzettel, meine Frage:
Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?

Gruß
Member: emeriks
emeriks Aug 01, 2019 at 13:59:21 (UTC)
Goto Top
Zitat von @informatikkfm:
Würdet ihr die Gruppe "Domänen-Admins" zu der Tier0-Gruppe hinzufügen oder würdet Ihr den Domänen-Admins separat die Anmeldung an den o.g. Diensten verweigern?
Wie ich schon geschrieben habe: Nutze diese Gruppe nicht! Sprich, füge keines Eurer Admin-Konten dort als Mitglied hinzu. Dann kann sie drinstehen, wo sie will, es hat keine Auswirkung auf die Rechte Eurer Admin-Konten.
GermanQuestionWindows ServerMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment