Benutzer mit den meisten Antworten
[ADS] Eingeschränkter Admin für Geschäftsleitung

Frage
-
Servus Community,
unsere Geschäftsleitung möchte eine Liste aller sicherheitsrelevanten Passwörter haben und jetzt suchen wir nach einer Lösung, mit der wir alle leben können. Die Systemverwaltung gibt diese Passwörter selbstverständlich nur sehr ungern heraus und die GL möchte sich natürlich für den Falle eines Falles absichern. Die rechtliche Situation ist eindeutig, die GL hat das Recht die Passwörter anzufordern.
Wir sind bei den Überlegungen jetzt da angekommen, dass wir für die GL jetzt einen eigenen Admin Account anlegen (gladmin) und würden diesen jetzt gerne auf das notwendigste einschränken. Idealerweise keine lokale Anmeldung (weder auf Servern, noch auf Workstations, keine Änderung von Benutzerpasswörter etc.), sondern im Grunde müsste dieser gladmin nur der Lage sein, dass Passwort des Domänenadministrators zurückzusetzen. Damit wäre die GL dann in der Lage, die ganze Sache zu übernehmen. (Wie) Geht das überhaupt?
Gibt es dafür zB eine Best Practice Vorgehensweise? Auch würden wir dann die entsprechenden Überwachungsrichtlinien konfigurieren, evtl. wäre das jedoch schon Gegenstand eines entsprechenden Tutorials...
Thx & Bye Tom
Antworten
-
Moin,
wie wäre es mit:
- gl-admin Account ist Enterprise Admin und auch sonst alles, was im Notfall erforderlich ist
- das sehr komplexe Kennwort kommt in einen versiegelten Umschlag
- Account wird gemonitort und, sobald es sich einmal anmeldet, gibt es dann Gesprächsbedarf ;-)
Das wäre so ein 'Break Glass Account'-Szenario. Anmeldebeschränkungen beißen Dich in der Regel *gerade* im Katastrophenfall.
Das, was Dir vorschwebt, geht nicht, jedenfalls nicht nachhaltig, denn AD bügelt die Sicherheitsbeschreibungen der SDAdminHolder regelmäßig gerade.
Evgenij Smirnov
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Donnerstag, 29. Oktober 2020 07:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 2. November 2020 07:18
Alle Antworten
-
Moin,
wie wäre es mit:
- gl-admin Account ist Enterprise Admin und auch sonst alles, was im Notfall erforderlich ist
- das sehr komplexe Kennwort kommt in einen versiegelten Umschlag
- Account wird gemonitort und, sobald es sich einmal anmeldet, gibt es dann Gesprächsbedarf ;-)
Das wäre so ein 'Break Glass Account'-Szenario. Anmeldebeschränkungen beißen Dich in der Regel *gerade* im Katastrophenfall.
Das, was Dir vorschwebt, geht nicht, jedenfalls nicht nachhaltig, denn AD bügelt die Sicherheitsbeschreibungen der SDAdminHolder regelmäßig gerade.
Evgenij Smirnov
- Als Antwort vorgeschlagen Mihaela ParedesMicrosoft contingent staff, Moderator Donnerstag, 29. Oktober 2020 07:07
- Als Antwort markiert Mihaela ParedesMicrosoft contingent staff, Moderator Montag, 2. November 2020 07:18
-
"unsere Geschäftsleitung möchte eine Liste aller sicherheitsrelevanten Passwörter haben".
Da sich Kennworte nicht auslesen lassen, kann man diese nur manuell niederschreiben.
Allerdings sollte man nicht vergessen, diese auch bei Kennwortänderungen zu aktualisieren.Ansonsten gilt halt: Ein Admin ist ein Admin und bleibt ein Admin.