none
[ADS] Eingeschränkter Admin für Geschäftsleitung RRS feed

  • Frage

  • Servus Community,

    unsere Geschäftsleitung möchte eine Liste aller sicherheitsrelevanten Passwörter haben und jetzt suchen wir nach einer Lösung, mit der wir alle leben können. Die Systemverwaltung gibt diese Passwörter selbstverständlich nur sehr ungern heraus und die GL möchte sich natürlich für den Falle eines Falles absichern. Die rechtliche Situation ist eindeutig, die GL hat das Recht die Passwörter anzufordern.

    Wir sind bei den Überlegungen jetzt da angekommen, dass wir für die GL jetzt einen eigenen Admin Account anlegen (gladmin) und würden diesen jetzt gerne auf das notwendigste einschränken. Idealerweise keine lokale Anmeldung (weder auf Servern, noch auf Workstations, keine Änderung von Benutzerpasswörter etc.), sondern im Grunde müsste dieser gladmin nur der Lage sein, dass Passwort des Domänenadministrators zurückzusetzen. Damit wäre die GL dann in der Lage, die ganze Sache zu übernehmen. (Wie) Geht das überhaupt?

    Gibt es dafür zB eine Best Practice Vorgehensweise? Auch würden wir dann die entsprechenden Überwachungsrichtlinien konfigurieren, evtl. wäre das jedoch schon Gegenstand eines entsprechenden Tutorials...

    Thx & Bye Tom

    Mittwoch, 14. Oktober 2020 09:52

Antworten

  • Moin,

    wie wäre es mit: 

    • gl-admin Account ist Enterprise Admin und auch sonst alles, was im Notfall erforderlich ist
    • das sehr komplexe Kennwort kommt in einen versiegelten Umschlag
    • Account wird gemonitort und, sobald es sich einmal anmeldet, gibt es dann Gesprächsbedarf ;-)

    Das wäre so ein 'Break Glass Account'-Szenario. Anmeldebeschränkungen beißen Dich in der Regel *gerade* im Katastrophenfall.

    Das, was Dir vorschwebt, geht nicht, jedenfalls nicht nachhaltig, denn AD bügelt die Sicherheitsbeschreibungen der SDAdminHolder regelmäßig gerade.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 14. Oktober 2020 10:16

Alle Antworten

  • Moin,

    wie wäre es mit: 

    • gl-admin Account ist Enterprise Admin und auch sonst alles, was im Notfall erforderlich ist
    • das sehr komplexe Kennwort kommt in einen versiegelten Umschlag
    • Account wird gemonitort und, sobald es sich einmal anmeldet, gibt es dann Gesprächsbedarf ;-)

    Das wäre so ein 'Break Glass Account'-Szenario. Anmeldebeschränkungen beißen Dich in der Regel *gerade* im Katastrophenfall.

    Das, was Dir vorschwebt, geht nicht, jedenfalls nicht nachhaltig, denn AD bügelt die Sicherheitsbeschreibungen der SDAdminHolder regelmäßig gerade.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 14. Oktober 2020 10:16
  • "unsere Geschäftsleitung möchte eine Liste aller sicherheitsrelevanten Passwörter haben".
    Da sich Kennworte nicht auslesen lassen, kann man diese nur manuell niederschreiben.
    Allerdings sollte man nicht vergessen, diese auch bei Kennwortänderungen zu aktualisieren.

    Ansonsten gilt halt: Ein Admin ist ein Admin und bleibt ein Admin.

    Mittwoch, 14. Oktober 2020 13:28