Übergang vom Konto nur für Domänenadministratoren

7

In unserer Windows-Umgebung haben unsere Domänenadministratoren nur ein Benutzerkonto. Dieses Einzelbenutzerkonto wird allgemein verwendet, einschließlich der Ausführung auf einer täglichen Workstation. Bei unserem Übergang von dieser Praxis suchen wir nach bewährten Methoden, wie wir Domain-Administratoren in Zukunft einrichten sollten.

Der naheliegende erste Schritt besteht darin, standardmäßig Konten mit geringen Berechtigungen zu verwenden und Anwendungen nach Bedarf zu eskalieren. Da wir zum ersten Mal zu diesem Setup wechseln, wissen wir nicht, nach welchen Dingen wir suchen und welche Änderungen wir vornehmen sollten. Und wie wirkt sich dies in größerem Maßstab darauf aus, dass wir SharePoint-Administratoren sind? Office 365-Administratoren? usw..

Welche Ressourcen gibt es oder können Sie bereitstellen?

windows active-directory best-practices Kennzeichen
quelle

Antworten:

8

Ich werde als @TheCleaner den umgekehrten Weg einschlagen.

Die Kennwort-Hashes dieser Domain-Administratorkonten liegen wahrscheinlich überall in Ihrem Netzwerk und warten nur auf ein Pass-the-Hash-Szenario. Aus diesem Grund würde ich empfehlen, diese Konten sofort von den Domänenadministratoren zu entfernen und sie als eingeschränkte Benutzer zu verwenden. (Sie sollten auch noch die Passwörter ändern.)

Diese Methode hat auch den entscheidenden Vorteil, dass kein Profil "voodoo" erforderlich ist und hoffentlich keine Berechtigungen für Ressourcen wie Home-Verzeichnisse geändert werden, für die der Benutzer ohnehin benannt werden sollte. Dadurch bleiben auch die Excahnge-Postfächer erhalten.

Erstellen Sie neue Domänenadministrator-Mitgliedskonten mit Anmeldebeschränkungen, die nur auf die Domänencontroller-Computer beschränkt sind. Diese Konten sollten niemals für andere Zwecke als die Anmeldung an Domänencontroller-Computern verwendet werden, um die Offenlegung ihrer Kennwort-Hashes zu begrenzen.

Dies wird ein schwieriger Übergang sein, und Sie werden auf Dinge stoßen, die nur auf Clientcomputern funktionierten, weil Ihre Benutzerkonten implizit Mitglieder der lokalen Gruppe "Administratoren" waren. Sie können diese Pille wahrscheinlich etwas einfacher schlucken lassen, indem Sie eine andere Gruppennestung (z. B. "Ehemalige Domain-Administratoren") verwenden, um diesen Konten lokale Administratorrechte zu erteilen. Schließlich möchten Sie auch davon Abstand nehmen.

Evan Anderson
quelle
+1 - Ich stimme dem Konzept zu, ich habe es nur als "was für das Unternehmen weniger schmerzhaft ist" betrachtet. Er hat mehrere Domain-Administratoren, Sharepoint usw. Ich gehe also davon aus, dass es sich nicht um eine kleine Firma handelt. Um die "Schwachstellen" auf die Administratoren anstatt auf den Rest des Unternehmens zu übertragen, wenn sie vergessen, wo auf all diesen Konten Skripte, Dienste, Portalanmeldungen, Sharepoint Central Admin-Inhalte usw. ausgeführt werden, müsste Mark entscheiden, ob der Hash verwendet wird Risiko ist es wert oder nicht. Ihre umgekehrte Antwort wäre wahrscheinlich ideal. Erstellen Sie neue Konten auf Administratorebene und setzen Sie sie anstelle der alten Konten ein ...
TheCleaner
Wenn beispielsweise ein Kontozugriff auf Administratorebene erforderlich ist, erstellen Sie verwaltete Dienstkonten, sorgen Sie dafür, dass alles unter den neuen Konten ordnungsgemäß funktioniert, und erstellen Sie gleichzeitig Konten mit geringen Berechtigungen, die der Benutzer auf seinen Arbeitsstationen verwenden kann. Arbeiten Sie daran, jede Woche 1 oder 2 ihrer "alten Konten auf Administratorebene" zu entfernen, und schließlich werden Sie alle ohne Massenunterbrechung entfernt.
TheCleaner
5

Hier ist meine kurze Empfehlung ... da Sie an dieser Stelle leicht "rückwärts" arbeiten können, um das zu bekommen, was Sie wollen.

  1. Benennen Sie die vorhandenen Konten in AD in "Mark-Admin" um. Ändern Sie den Anzeigenamen und den Benutzeranmeldenamen (Benutzername). Die SID bleibt gleich, so dass es im Wesentlichen so ist, als würde jemand von seiner Jungfrau zu einem verheirateten Namen wechseln. Alle Berechtigungen usw. bleiben überall gleich.
  2. Erstellen Sie für jedes von ihnen neue Konten mit geringen Berechtigungen, die jetzt "Mark" genannt werden (unabhängig von ihrem alten normalen Benutzernamen, den sie gewohnt waren). Geben Sie diesen Konten Berechtigungen für ihren Home-Ordner und / oder für alle anderen Berechtigungen, auf die dieses normale Konto Zugriff benötigt. Sie müssen auch Informationen über das Exchange- / E-Mail-System (E-Mail-Adressen usw.) vom alten auf dieses Konto übertragen. Beachten Sie, dass ihre E-Mail-Adresse wahrscheinlich als Anmeldeinformation für O365 oder andere Portale verwendet wird, wenn Sie kein SSO verwenden.
  3. Entfernen Sie alle Berechtigungen, auf die "Mark-Admin" keinen Zugriff mehr benötigt, falls vorhanden.
  4. Verwenden Sie ein Tool wie den ForensIT-Profilassistenten auf der Workstation, um das Profil von der alten SID (jetzt Mark-Admin-Benutzername) auf die neue SID (Mark) zu migrieren. Geben Sie ihnen dann ihren Desktop / ihr Profil / etc. Zurück. als ob sie es immer für dieses Konto benutzt hätten.
  5. Für Anmeldungen / Authentifizierungsportale, die kein SSO bieten (möglicherweise Ihr O365, Sharepoint usw.), müssen Sie diese irgendwie aktualisieren. Wenn Sie beispielsweise mit O365 nicht mit AD synchronisieren, müssen Sie es direkt aktualisieren, indem Sie entweder ein neues Konto erstellen oder die Rechte des vorhandenen Kontos ändern. Dies hängt von Ihrem Setup ab. Wenn sie sich derzeit beispielsweise mit einer E-Mail-Adresse anmelden, wird diese Adresse offensichtlich auf ihr Konto mit geringen Berechtigungen (Mark) übertragen, und Sie benötigen eine andere Adresseinstellung für Mark-Admin.
  6. Profitieren
Der Reiniger
quelle