Neue Idee hinzufügen Abonnieren
Kategorien Inventarisierung
Erstellt von Holger.C054206
Erstellt am 14. Dez 2021

ÄHNLICHE IDEEN

Unterstützung von LAPS bei der Inventarisierung

Seit 2019 nutzen wir LAPS (Local Administrator Password Solution) von Microsoft (siehe: LAPS - Local Admin Password Solution (msxfaq.de)). Dies ermöglicht uns für jeden Client einen lokalen Administrator-Account mit eigenem Passwort zu haben ohne das dies zu einem hohen Aufwand in der IT führt. Das bedeutet aber auch, dass es für unsere Clients eigentlich keinen Benutzer gibt, der auf allen Geräten Admin-Rechte hat. Dies sorgt dann dafür, dass Docusnap die Geräte nicht ordentlich Scannen kann.
Aus unserer Sicht wäre es gut, wenn Docusnap beim Scannen ebenfalls auf die Passwörter im AD zurückgreifen könnte.
  • Kommentar posten
  • Holger.C054206
    3. Aug 2022
    Wir haben 2019 das Verwaltungsebenen-Modell von Microsoft eingeführt und in diesem Zuge auch LAPS. Den Punkt: " Lokale Admin Konten sollte es sowieso auf keinem System geben" sehe ich, für uns, vollkommen anders. Und deshalb nutzen wir LAPS. Wir haben die Erfahrung, dass es bei Tier 2 Geräten (also den Workstations der Mitarbeiter) immer zu dem Punkt kommt, an dem man sich lokal, physisch vor dem Rechner sitzend, als Admin anmeldet. Zum Beispiel, wenn ein Mitarbeiter beim Kunden ist und keine Verbindung zum AD hat, etwas nicht funktioniert oder etwas nachinstalliert werden muss. In genau solchen Situationen brauchen wir lokale Konten mit Administratorrechten. LAPS erlaubt uns einfach das Passwort an den Mitarbeiter rauszugeben und nach 7 Tagen, wenn er wieder am Netz ist, wird das Passwort automatisch geändert. Außerdem haben wir durch LAPS wirklich an jedem Gerät ein einmaliges Passwort ohne dafür für jedes Gerät einen Admin-Benutzer im AD anzulegen. Wenn wir uns für Tier 2 Admin-Konten im AD entschieden hätten, dann hätten wir sicher Accounts für Bereiche zusammengefasst und jede lokale Anmeldung an einem Befallenen Gerät hätte das Passwort für den Zugriff auf mehrere Geräte geliefert. So arbeiten wir als Administratoren beim Administrieren einer Workstation immer mit dem lokalen Admin und geben gar nie das Passwort eines Administrators (AD-Konto) an einem Client ein. Für die Inventarisierung von Docusnap ist das Nutzen der lokalen Administratoren tatsächlich nicht mehr interessant. Wir haben dies über einem AD-Account gemacht. Da dieser sich ausschließlich via Netzwerk Authentifiziert haben wir da kein Problem mit.
    Antworten
  • Hans-Wolfgang.C074747
    3. Aug 2022
    Wenn man das Microsoft 3-Tier Berechtigungsmodell einführt, für DC, Server und Clients, kann man ohne Zugriff auf LAPS ebenfalls inventarisieren. Lokale Admin Konten sollte es sowieso auf keinem System geben. Man muss allerdings eine gewisse Anzahl an Domänenbenutzern (entsprechend dem Berechtigungsmodell) erstellen, die dann per GPO das Recht zum Auslesen der Daten der Rechner erhalten. Wir haben ebenfalls LAPS und das 3-Tier Modell. Funktioniert bisher :-) Es stellt sich dann nämlich die Frage, ob es nicht zu einer gravierenden Sicherheitslücke kommen könnte, wenn Docusnap auf LAPS Konten/Rechner Zugriff hätte. Müsste man im Detail mal durchdenken
    Antworten
  • Frank Oehlschlägel
    15. Dez 2021
    Wenn machbar sicher gute Idee....Aber ob es klappt.....?! Mal schauen....
    Antworten
support@docusnap.com +49 8033 6978 – 4444 info@docusnap.com +49 8033 6978 – 4000
Funktionen Lösungen Add-ons
Blog Kundenfallstudien Trainings
Über uns Kontakt
Impressum Lizenzvereinbarung Datenschutz
© Docusnap GmbH
German
English