Logo faq-o-matic.net
Logo faq-o-matic.net

Just Enough Administration: Material von der CDC Germany 2017

von veröffentlicht am12. Juni 2017, 06:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Administration, PowerShell, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Auf der Cloud & Datacenter Conference Germany 2017 hatte ich die Ehre, vor großem Publikum die neue Sicherheitstechnik “Just Enough Administration” am Beispiel von Hyper-V vorzustellen. Hier ist ein wenig Material dazu.

Just Enough Administraion (oder JEA) ist ein neuartiges Berechtigungskonzept für zahlreiche Dienste und Applikationen. Anders als herkömmliche Verfahren setzt es nicht auf Objektberechtigungen auf, die innerhalb einer Anwendung definiert sein müssen, sondern es steuert das Ausführen administrativer Tätigkeiten über die PowerShell. Damit ermöglicht es JEA, sehr zielgerichtet Verwaltungszugriffe auf eine Applikation festzulegen, sodass Administratoren nicht mehr “allmächtig” sein müssen.

Am Beispiel von Hyper-V in Windows Server 2016 habe ich gezeigt, wie man JEA einsetzen kann, um Helpdesk-Mitarbeitern eng abgegrenzte Zugriffsrechte auf die Virtualisierungsumgebung zu erteilen. Von Haus aus unterscheidet Hyper-V (nur noch) Administratoren und den Rest der Welt. Ein Admin kann so alles oder gar nichts – das ist nicht eben unternehmenstauglich. Durch JEA lassen sich Szenarien wie die folgenden (relativ) leicht umsetzen:

  • Der Helpdesk soll bestimmte VMs starten, beenden und auflisten können, sonst aber die Host-Umgebung nicht manipulieren dürfen
  • Die Softwareentwickler sollen auf bestimmten Hosts neue VMs mit bestimmten Parametern erzeugen können und ihre eigenen VMs dann steuern – mehr nicht
  • JEA kann alles steuern, was PowerShell spricht, also soll die Ausbildungsleitung die AD-Konten von Azubis bearbeiten können, aber keine anderen

Eine gute Einführung in JEA gibt es hier:

[Übersicht über Just Enough Administration]
https://msdn.microsoft.com/powershell/jea/overview

Auf dieser Basis habe ich für meine Demo einige Skripts entwickelt, die das Prinzip demonstrieren:

  • Konfigurationsdateien für den JEA-Endpunkt
  • Skripte, die JEA in Aktion zeigen
  • Ein grafisches Werkzeug, das JEA einsetzt, um dem Helpdesk die oben skizzierten Aktionen zu ermöglichen, ohne dass die PowerShell nötig wird

Hier finden sich die Skripte und die CDC-Präsentation zum Download:

Download: JEA: Material von der CDC 2017  JEA: Material von der CDC 2017 (1,9 MiB, 500-mal heruntergeladen, letzte Änderung am 24. Mai 2017)

Eine umfassende Einführung in JEA gibt es auch in dem Buch “Microsoft Hyper-V”, das vor wenigen Tagen in neuer Auflage im Rheinwerk Verlag erschienen ist.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!