none
Deny access to this computer from the network RRS feed

  • Allgemeine Diskussion

  • Wir haben hier eine Diskussion bzgl. der Sicherheit.

    Es geht um Serviceaccounts oder technische User also user, die z.B. für den Betrieb eines lokalen Dienstes eingerichtet sind aber auch accounts, die für ldap queries oder sql Abfragen genutzt werden.
    Unsere security gibt nun für solche accounts vor, dass die Richtlinie Deny access to this computer from the network aktiviert sein muss.
    Nun habe ich einen Kollegen, der behauptet, dass solle für alle serviceaccounts auf allen Servern im Netzwerk - also auch auf den Domain Controllern - aktiviert werden.

    Nach meinem Verständnis ist das falsch.
    Wie soll ich einen ldap query ausführen, wenn der user nicht das Recht hat, sich mit einem ldap server über das Netzwerk zu verbinden ?
    Und was ist mit service accounts für Dienste, die aus der Applikation heraus Datenbankabfragen an einen entfernten SQL server senden sollen - das kann doch ohne den Zugriff über das Netzwerk mit diesem user auch nicht funktionieren, wenn diese Richtlinie auf dem SQL server aktiviert ist und für diesen serviceaccount gilt ?

    Oder verstehe ich was falsch ?

    Vielen Dank schon im Voraus für erhellende Antworten.


    Jogeli




    Mittwoch, 30. Oktober 2013 17:48

Alle Antworten

  • Am 30.10.2013 schrieb jogeli:
    Hi,

    Nach meinem Verständnis ist das falsch.
    Wie soll ich einen ldap query ausführen, wenn der user nicht das Recht hat, sich mit einem ldap server über das Netzwerk zu verbinden ?
    Und was ist mit service accounts für Dienste, die aus der Applikation heraus Datenbankabfragen an einen entfernten SQL server senden sollen - das kann doch ohne den Zugriff über das Netzwerk mit diesem user auch nicht funktionieren, wenn diese Richtlinie auf dem SQL server aktiviert ist und für diesen serviceaccount gilt ?

    Oder verstehe ich was falsch ?

    Ich sehe das ähnlich wie du, aber um dein Gegenüber zu überzeugen, wirst du
    es wohl testen müssen. ;) Nimm doch erstmal einen Testaccount.

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Mittwoch, 30. Oktober 2013 19:28
    Moderator
  • Hi,

    Am 30.10.2013 18:48, schrieb jogeli:

    Nach meinem Verständnis ist das falsch. Wie soll ich einen ldap query
    ausführen, wenn der user nicht das Recht hat, sich mit einem ldap
    server über das Netzwerk zu verbinden ?[...]

    Ich sehe es auch so.
    MS hat für solche Fälle 2 Dienste und ihr in dem Fall 2 "Service-User-Typen".
    -> Lokaler Dienst = Kein Netzwerk
    -> Netzwerkdienst = Netzwerk

    Wenn du generell allen "Deny Access to this ..."  definierst, dann ist ja am Ende JEDES! Ziel daovon betroffen, auch die, auf die du übers Netzwerk zugreifen willst/musst.

    Am einfachsten werden die Kollegen mit einem Test zu überzeugen sein.
    Mach die Türen zu, setze die Richtlinie und warte welche Applikationen jetzt nicht mehr laufen :-D

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter


    Tsch&#246<br/> Mark Heitbrink - MVP Windows Server - Group Policy <br/> Homepage: <a href="http://www.gruppenrichtlinien.de">www.gruppenrichtlinien.de</a> - deutsch<br/> GPO Tool: <a href="http://www.reg2xml.com">www.reg2xml.com</a> - Registry Export File Converter<br/>
    Samstag, 2. November 2013 20:03
  • Hi,

    (bin ich spät?)

    Unsere security gibt nun für solche accounts vor, dass die Richtlinie Deny access to this computer from the network aktiviert sein muss.

    Ich glaube ja, daß deine Security was ganz anderes meint: nämlich 'Lokal anmelden verweigern' und 'Anmelden über Terminaldienste verweigern'. Damit wird die mißbräuchliche Verwendung solcher Accounts an Konsolen (auch Remotekonsolen) unterbunden. Und dies wiederum ist für ServiceAccounts doch ziemlich wünschenswert.

    Gruß

    Dienstag, 4. Februar 2014 15:45
  • Hallo,

    es gibt verschiedene Logon-Types.

    http://www.windowsecurity.com/articles-tutorials/misc_network_security/Logon-Types.html

    In den Regel spricht man wenn man von "sich anmelden kann" immer vom "Interactive Logon".
    Du kannst also Service-User anlegen, die sich nirgends interaktiv anmelden können, jedoch natürlich
    LDAP Abfragen oder ähnliches ausführen können.

    Natürlich kannst du auch im User-Account einstellen, an welchen Geräten sich der User interaktiv anmelden kann.

    Speziell für das Thema Dienst, schau dir einmal MSA und Virtual Accounts an:

    http://social.technet.microsoft.com/wiki/contents/articles/391.managed-service-accounts-msas-versus-virtual-accounts-in-windows-server-2008-r2.aspx

    http://weblogs.asp.net/owscott/archive/2010/04/21/managed-service-accounts-msa-and-virtual-accounts.aspx


    MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

    Donnerstag, 6. Februar 2014 06:10
    Beantworter