Für jede in der baramundi Management Suite angelegte Domäne müssen drei Benutzerkonten angegeben werden. Die größtmögliche Sicherheit bieten drei unterschiedliche Benutzerkonten, die nachfolgend beschrieben werden.
WARNUNG |
|
|---|---|
 |
Wir raten dringend dazu, drei voneinander unterschiedliche (separate) Benutzerkonten anzulegen. |
HINWEIS |
|
|---|---|
 |
|
Administrationsbenutzer
Dieser Benutzer hat die umfangreichsten Berechtigungen. Er wird jedoch fast ausschließlich vom baramundi-Management-Suite-Hauptserver selbst verwendet.
-
Der Administrationsbenutzer führt einen gezielten Join im Active Directory (von Microsoft als Secure Join bezeichnet) durch. Die benötigten Rechte können über eine Delegierung auf der kompletten Domäne oder auf eine darunter liegende OU-Struktur vergeben werden. Bei der Rechtevergabe für eine OU hilft Ihnen folgender KB-Artikel: KB10013 - Rechtekonfiguration für Administrative User in Active Directory. Bitte beachten Sie die Änderungen zum Join aus folgendem Microsoft-Artikel: KB5020276 – Netjoin: Änderungen bei der Domänenbeitrittshärtung.
-
Der Administrationsbenutzer importiert die Informationen aus Active Directory. Für die baramundi Management Suite sind dabei nur Benutzer, Benutzergruppen (sowohl Sicherheits- als auch Verteilergruppe), Computerobjekte und Organisationseinheiten relevant (Im Standardfall muss hier nichts konfiguriert werden, da alle Domänenbenutzer Leserechte besitzen).
-
Der Administrationsbenutzer installiert den Agenten auf bekannten (importierten oder angelegten) Geräten. Dazu benötigt er lokale Administrationsrechte, andernfalls kann der baramundi-Management-Agent-Wartungsdienst (bfcrx) nicht installiert werden. Da diese Konfiguration nur für die Erstinstallation des Agents benötigt wird, sollten die Rechte nach der initialen Installation wieder entfernt und das Passwort des Benutzers geändert werden. Sicherer ist es, den Agent zum Beispiel per GPO zu verteilen. Wird ein Rechner via OS-Install mit einem Betriebssystem versorgt, dann ist der Agent bereits installiert.
-
Der Administrationsbenutzer gibt den Befehl zum Herunterfahren oder Neustarten eines Windowsgeräts. Dazu benötigt er das Recht Erzwingen des Herunterfahrens von einem Remote-System aus, welches über eine Gruppenrichtlinie gesetzt werden kann.
Installationsbenutzer
Domäneninstallationsbenutzer
Ein Domänenbenutzer ist für die Konfiguration erforderlich und ist bei Nutzung des lokalen Installationsbenutzers nur für bestimmte Anwendungsfälle relevant:
Jobs, die serverseitige Aktionen beinhalten und im Installationsbenutzerkontext ausgeführt werden, verwenden den Domäneninstallationsbenutzer. Diese Einstellung ist für gehärtete Umgebungen empfohlen. Die Ausführung der Jobschritte benötigt keinen Agent, daher funktioniert an dieser Stelle der lokale Installationsbenutzer nicht. Welche Berechtigungen erforderlich sind, ist davon abhängig, welche Aktionen Sie aus den serverseitigen Skripten ausführen.
Lokaler Installationsbenutzer
In der Domänenkonfiguration aktivieren Sie den lokalen Installationsbenutzer. Dadurch steht dem baramundi Management Agent auf verwalteten Windowsgeräten ein lokaler Administrator zur Verfügung. Dieses Konto erhält den Namen baraInstLocal. Es ist standardmäßig deaktiviert und ohne Gruppenmitgliedschaften.
Vor einer Jobausführung wird dieses Konto durch den baramundi Management Agent aktiviert und der lokalen Administratorengruppe hinzugefügt. Es erhält ein neues, zufallsgeneriertes Kennwort mit 64 Zeichen. Nach Abschluss der Jobausführung wird das Konto deaktiviert und die Gruppenmitgliedschaften werden entzogen.
Einmal an der Domäne aktiviert, ersetzt der lokale Installationsbenutzer den Domäneninstallationsbenutzer für die meisten Anwendungsfälle automatisch.
Netzwerkbenutzer
Der Netzwerkbenutzer wird für sämtliche SMB-Zugriffe während der Ausführung eines Jobs auf einem verwalteten Gerät verwendet. Dies gilt für die Ausführungskontexte des lokalen wie domänenweiten Installationsbenutzers und LocalSystem. Serverseitige Aktionen können diesen Benutzer mangels installiertem Agent auf dem Server nicht verwenden.
Der Benutzer muss über Leserechte auf den DIPs seiner Domäne verfügen. Je nach Modul müssen einige Verzeichnisse auch schreibend erreichbar sein (siehe Freigabe- und Dateisystemberechtigungen).
Sämtliche Speicherorte sind auf Job-Ebene konfigurierbar. Zusätzliche Schreibrechte können aufgrund individueller baramundi-Management-Suite-Nutzung erforderlich sein.
Der Netzwerkbenutzer wird zudem für den Zugriff auf bBT-DIPs sowie für die Synchronisation der DIPs verwendet (Statusabfrage an DIP, Daten-Download des Ziel- vom Quell-DIP). Bei der Verwendung von baraDIP ist er daher als Zugriffsbenutzer anzugeben. Die Ablage der synchronisierten Daten auf dem jeweiligen DIP erfolgt im Kontext des Benutzers, in dem der baraDIP-Dienst läuft (standartmäßig LocalSystem).
Ist als Pfad für den DIP ein UNC-Share konfiguriert (z. B. DIP auf einer NAS), muss der baraDIP-Dienst im Kontext eines Benutzers laufen, der auf dem UNC-Share entsprechende Schreib- und Leseberechtigungen hat.
Neben den bekannten NTFS-Rechten muss dieser Benutzer ebenfalls die Rechte auf der entsprechenden Freigabe (z. B. DIP$) erhalten. Weitere Informationen dazu finden Sie hier: KB10026 - Einrichtung einer baraDIP-Installation für den Zugriff auf externe Ziele (z. B. NAS-Boxen)