none
PAM / Client Administration RRS feed

  • Frage

  • Hallo,

    wenn man die MS Vorschläge zur Pth Mitigation umsetzen will, was wäre die beste Lösung für remote Client Admin Tasks? LAPS ist im Einsatz und Domain Admins haben keinen Zugruff auf die Workstations. Um also remote auf die Clients zugreifen zu können, nimmt man nun einen einfachen Domain User, der aber lokale Admin Rechte hat. Damit habe ich ja das selbe Problem wieder wie wenn ich LAPS nicht einsetzen würde und überall das selbe Admin Passwort hätte. Der kompromittierte Client kann den Hash des Domain Users und Restricted Group Members (für lokale Admins) verwenden. Alternative wäre nur den lokalen Admin zu verwenden (jeder Client hat unterschiedliches Passwort). Dazu müsste ich dann aber das UAC Token Filtering abstellen, was ja auch nicht erwünscht ist-

    Was also ist Best Practive um Remote über das Netzwerk die Client WKS zu verwalten?

    Danke...

    Dienstag, 19. September 2017 17:54

Alle Antworten