none
Mehrere Domains vs. OUs RRS feed

  • Frage

  • Hallo Zusammen,

    ich habe mal eine Frage hinsichtlich IT Security...

    Szenario:

    Ein IT Dienstleister XY hat mehrere unterschiedliche Kunden A - F
    Die IT-Leitung schlägt folgendes vor: Eine Domain mit unterschiedlichen OUs für die einzelnen Kunden (A, B,..).

    Wie ist dies aus Sicherheitssicht zu beurteilen? Mein Bauchgefühl würde mir sagen: Mehrere unterschiedliche Domainen wären besser.

    Vielen Dank und Gruß

    der Sec-Guy :-)

    Mittwoch, 27. Juli 2011 12:45

Antworten

  • Domäne ist keine Sicherheitsgrenze, OU schon gar nicht. Der
    Dienstleister braucht verschiedene FORESTS. Und zwar nicht wegen Deines
    Bauchgefühls, sondern wegen des BDSG!
     
    Es "geht" zwar auch mit OUs, aber das ist ein erheblicher Aufwand, weil
    Du die im GC sichtbaren Daten aller Objekte von den personenbezogenen
    Daten der Benutzeraccounts trennen mußt - dazu brauchst eigene
    Objektklassen...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 27. Juli 2011 13:41

Alle Antworten

  • Domäne ist keine Sicherheitsgrenze, OU schon gar nicht. Der
    Dienstleister braucht verschiedene FORESTS. Und zwar nicht wegen Deines
    Bauchgefühls, sondern wegen des BDSG!
     
    Es "geht" zwar auch mit OUs, aber das ist ein erheblicher Aufwand, weil
    Du die im GC sichtbaren Daten aller Objekte von den personenbezogenen
    Daten der Benutzeraccounts trennen mußt - dazu brauchst eigene
    Objektklassen...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 27. Juli 2011 13:41
  • Danke Martin!

    Ich denke darüber hinaus kommt auch die Problematik dazu, dass man als Auftragsdatenverarbeiter Schwierigkeiten haben könnte bestimmte Vorgaben auf OU-Basis implementiert zu bekommen.

    Außerdem: wenn die Domain komprimitiert werden sollte, besteht direkt Zugriff auf alle darunter liegenden OUs, korrekt?

    Gibt's sonst noch gute Gegenargumente?

    Der Sec-Guy :-)


    Mittwoch, 27. Juli 2011 14:04
  • > Auftragsdatenverarbeiter Schwierigkeiten haben könnte bestimmte Vorgaben
     
    Kommt auf die Vorgaben an :) Aber Du hast halt die Objekte in einem
    einzigen Verwaltungs- und Sicherheitsbereich...
     
    > Außerdem: wenn die Domain komprimitiert werden sollte, besteht direkt
    > Zugriff auf alle darunter liegenden OUs, korrekt?
     
    Ja, klar.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 27. Juli 2011 14:20
  • Moin,

    ich kann Martin nur zustimmen. Wenn ihr diese nforderung habt, könntest du mal über folgendes nachdenken:

    Installation einer Hyper-V Umgebung mit mehreren VLANS. Eine virtuelle Domäne für jeden Kunden mit eigenem VLAN. Ein TMG als Grenze zwischen den einzelnen Netzen ...


    Viele Grüße Carsten
    Donnerstag, 28. Juli 2011 06:48