Forum Datorer och system Server Tråd Inlägg

Rättigheter för domän-konton

1
Skriv svar
Permalänk
Medlem

Rättigheter för domän-konton

Jag är ensam tekniker på kontoret där jag jobbar, vi hyr it som tjänst men det är jag som håller i trådarna.
Eftersom it säkerhet är på tapeten hela tiden så har jag nu förstått att jag måste ta bort mina administratörsrättigheter från mitt personliga användarkonto (jag vet, det är dumt att jag haft det. Men det är bekvämt, OK?).

Men jag undrar lite över hur man ska tänka med rättigheter, jag tänker att jag ska ha tre olika konton med olika nivåer som används till olika saker.

- Domain Admin konto för att hantera servermiljön
- Service konto för att typ, installera program åt användare vid UAC
- Personkonto, domain user med mitt epostkonto utan extra behörigheter

Vad jag har dålig koll på är exakt vilka grupper man bör lägga till de olika kontona i (jag tänker standard windows AD grupper) Vilken grupp ger rättigheter att installera program på klienter tex?

Hur tänker ni och hur har ni gjort det här i era organisationer?

Visa signatur

Regnar det så kommer det ifrån himlen.

annars står de i tidningen..

Redigera
Citera flera Citera
Permalänk
Medlem

Du är på rätt spår
Domain admin konto som du enbart loggar in på domain controllers.
Ett pc admin konto för pc drift (enklast är om det är medlem i administrators på varje pc - går att fixa via GPO)

user - för kontorssysslor

Visa signatur

Arbetsdator: HFX Mini. Ryzen 3600, GTX1650. Skärmar: Dell 2415

Redigera
Citera flera Citera
Permalänk
Medlem

Du är på rätt spår, men egentligen behöver du fyra konton. Ett som är medlem i domain admin som du endast använder att administrera domänkontrollanten. Ett som är administratör på alla andra servrarna. Ett som är administratör på alla klienterna. Ett som bara är vanlig user.

Server och klient-admin kontona finns det inga grupper för default om man inte manuellt vill gå in på varje server/dator och lägga med kontot på. Så där får man skapa en grupp som man pushar ut vi GPO till respektive OU med enheter.

Redigera
Citera flera Citera
Permalänk
Medlem

Beror väl också på vilket sorts företag som du jobbar på och vilken nivå ni ska lägga er på. Ska ni certifiera er mot någon standard eller? Tänker att ni inte kanske behöver ta i från tårna med säkerheten heller, det måste vara smidigt att jobba också.

Jag kan tycka att ett vanligt user konto räcker för det "dagliga arbetet" du gör och att just din user får vara lokaladmin på PC:s och så ett domänadmin konto som du använder när du ska in och ändra inställningar på servrarna.

Visa signatur

Dator: Gigabyte Z390 i7-9700 32gig RAM DDR4 RTX 2080

Redigera
Citera flera Citera
Permalänk
Medlem

Finns flera sätt att hantera detta, lite beroende på miljö och krav. Ett sätt att hantera upplägget kan vara (för dig som administratör):
1 - Standardkonto - samma behörigheter som vem som helst. Vanligtvis här du har e-postkonto osv.
2 - Adminkonto - En typ av eleveringskonto, kan exempelvis vara medlem lokala administratörsgruppen på era servers och klienter. Detta konto bör inte tillåtas delegering, dvs att all autentisering behöver göras av en DC (inga cached credentials).
3 - Lokalt konto på era klienter för lokal elevering. Förslagsvis med LAPS. Detta gör att du kan elevera dig på enskilda klienter, utan att klienten (nödvändigtvis) har åtkomst till en DC.

Har sett varianter där man har egna konton för inloggning på DC's separat. Också sett att dessa kan också konfigureras så dessa inte kan användas för inloggning på en dator/RDP, utan endast för elevering av processer.
Att skapa ett disaster recoverykonto med undantag är vanligt, som sista utväg om något generalfel inträffar.

Balansgång mellan säkerhet och smidighet.
/D

Visa signatur

Workstation: Intel Core i5-10400 | Gigabyte B460M DS3H | 16GB DDR4 | Geforce GTX1660 SUPER 6GB |
Server: Dell R730xd | Intel Xeon E5-2640 | 64GB DDR3 ECC RAM | Dell VMware vSphere ESXi 6.5
NAS: Synology 212J 2x4TB, Synology 218play 2x4TB | MSMCP CCNA1

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara