Domänenübergreifender Admin

[Tician]

Hiho,

ich verwalte mehrere Domänen mit Vertrauensstellung, würde aber eine Domäne als "Hauptdomäne" bezeichnen.

Bisher war es so dass es für jede Domäne eigene Admins gibt. Gewünscht wäre ein Benutzer mit dem man alle Domänen administrativ verwalten kann.

Gefunden habe ich eine recht einfach klingende Lösung: Die "Domänen-Admins" Gruppe der einen Domäne in die Builtins "Administratoren" der anderen Domäne hinzufügen.

Jetzt wollte ich mir aber nochmal eure Meinung einholen: Hat jemand Erfahrung damit, gibt es etwas zu beachten oder vielleicht einen besseren Weg?

[Asura]

In erster Linie, gibt es einen speziellen Grund, warum du das tun möchtest? Grundsätzlich gebe ich einem Account nur die Berechtigungen, die er wirklich benötigt.
Wir unterscheiden zwischen einem "normalen" Account zum Arbeiten und eigene extra Administratoren Accounts zu Verwalten von Dingen.
Wie möchtest du sicherstellen, dass nicht plötzlich mehr als ein Account sämtliche Berechtigungen erhält?

Dient das einfach der Bequemlichkeithalber?

[Tician]

Ich habe ebenfalls einen Account mit dem ich am PC arbeite und der keine Admin-Rechte hat. Dann aber noch einen Admin-Account für Remote-Sitzungen um Server zu verwalten und dieser soll aber alle Domänen verwalten können. Selbes gilt für meinen Kollegen. Es sind genau 2 Accounts die übergreifend Domänen-Admins sein sollen

[Chief Wiggum]

Warum?

Was spircht dagegen, dass ihr für jede Domain einen eigenen Admin nutzt?

Je mehr Rechte an einem Admin-Account kleben desto kompromittierbarer ist das Netz.

[Asura]

Warum wollt ihr es jetzt aufblähen?

Sollte das in Zukunft wachsen, erwartet oder unerwartet und ihr seid in der Lage, dass ihr das aufräumen müsst, kann es unter Umständen schwierig werden.
Ich bereinige gerade einige alte Berechtigungsgeschichten und es ist wahrlich ein Graus.

Den Sinn dahinter verstehe ich nicht so wirklich, für mich ist es völlig in Ordnung für jeweilige Domänen auch jeweilige Accounts zu verwenden, egal ob trusted oder nicht. Wenn die Trennung bereits vorhanden ist, macht es für mich keinen Sinn diese aufzulösen.

Klar ist diese Lösung nicht sehr bequem, aber Sicherheit und Bequemlichkeit bekriegen sich oft.

Je mehr Berechtigungen Accounts haben, desto mehr Unfug kann damit angestellt werden. Statt 8 Accounts braucht jemand jetzt nur Zugriff auf einen Einzigen.

Sollte diese Konfiguration aufgrund eines Systems zwingend benötigt werden, diskutiere ich bei meinem AG gerne darüber, sollte mir aber jemand die Bequemlichkeit als Begründung geben, lehne ich es relativ schnell ab.

Wenn man sich ein entsprechendes Passwortschema/-Ableitung überlegt, sollte es ziemlich einfach sich die Passwörter entsprechend merken zu können, damit meine ich nicht, dass das Passwort für Domain A dann "Dom4inA" und das Passwort für Domain B dann "Dom4nB" sein sollte.
Alternativ einfach Passwort generieren und entsp. einen Passwortsafe pflegen.

Wenn ihr eine flache Domäne habt, ists noch einfacher mit einem personalisierten Adminaccount zurechtzukommen.
Grundsätzlich bin ich ein großer Freund von personalisierten Adminaccounts, inwiefern das in einer Firma möglich ist, muss man jetzt nicht diskutieren. :D

[Tician]

Tja, dann fällt das wohl flach. Ich verstehe dass es wohl sicherer ist mehrere Accounts zu haben, aber auf der anderen Seite überlege ich gerade dass wenn ein Mitarbeiter geht, man an 20 verschiedenen Stellen die Accounts deaktivieren/sperren muss statt nur an einer zentralen Stelle, wäre das nicht auch gefährlich sollte man eine Stelle vergessen?

[Maniska]

Am 7.8.2020 um 12:43 schrieb Tician:

aber auf der anderen Seite überlege ich gerade dass wenn ein Mitarbeiter geht, man an 20 verschiedenen Stellen die Accounts deaktivieren/sperren muss statt nur an einer zentralen Stelle, wäre das nicht auch gefährlich sollte man eine Stelle vergessen?

Da ein Admin eh Zugriff auf bis zu hunderte Kennwörter/Geräte hat die man im Zweifelsfall alle wechseln sollte wenn einer geht...

Selbst wenn die Zugangsdaten für die Switche z.B. der EInfachheit alle gleich sind, sollte man trotzdem auf jedem Gerät die Daten ändern

Kommt es da noch auf ein oaar mehr Stellen an? Vor allem wenn diese sauber dokumentiert sind? Ich würde mir eher Sorgen über "Backdooraccounts" machen wenn jemand nicht im Guten geht. Ein Acc "Max Mustermann" der als VPN User rein darf, Adminrechte hat und...

Deswegen wäre es sinnvoll zu "Friedenszeiten" einen "Kick an Admin" Prozess zu etablieren, in dem genau geregelt ist wer was bis wann zu erledigen hat wenn ein Administrator geht.

Zum einen im Falle der Eigenkündigung: wie lange darf der Kollege noch auf den Systemen administrativ arbeiten. Auf wechen? Allen oder nur "seinen"?

Im Falle der Kündigung durch den AG: Info an den zuständigen Kollege noch während der Betroffene im Kündigungsgespräch sitzt, damit derjenige schon danach keinen Schaden mehr anrichten kann. Also entweder sperren aller Accounts (bei Freistellung) oder Wegnahme er Adminrechte und Wechsel der kritischten Kennwörter (wenn er erst mal weiterarbeiten sollte). Wobei man mMn in so einem Prozess direkt definieren sollte, ob ein gekündigter Administrator nicht prinzipiell für die Dauer der Kündigungsftist freigestellt wird (natürlich bezahlt).