[ADDS] Entra Global Reader equivalent in ADDS

Hoor je dat als auditor niet te weten / hoor je niet functioneel uit te vragen waar je toegang tot moet krijgen? Of wil je dat men zakt door ja te zeggen op je verzoek? Bedoeld voor iets anders maar, dat lijkt me een heel slecht begin van een audit.


Hangt verder af van de inrichting van de klant. Zoals wat er met conditional access is beperkt.

Ik mag ook hopen dat je vereist dat op dat gebied veel wordt beperkt. MFA, alleen kantoorlocatie, denk ook aan PAM.

Edit: oh, alleen lokale AD. D'oh.

[ Voor 3% gewijzigd door F_J_K op 26-12-2024 10:42 ]

Schopje naar Serversoftware en clouddiensten

Naar mijn weten is er geen read-only functie in ADDS, alleen in Entra.

Je zult vrees ik niet onder een domain admin uitkomen om alles te kunnen inzien.
Lijkt je dat je een geheimhoudingsverklaring tekent als je audits doet, mocht je onverhoopt klantdata zien.

In principe kan het wel, maar het vereist enorm veel opzetwerk omdat er geen standaard rol voor bestaat. Dat wil dan ook zeggen dat men een custom group zou moeten aanmaken en deze naar alle systemen moet gaan duwen waar jij leesrechten op wenst te hebben als auditor.

Neem nu "Event Log Readers", dat is een lokale groep, geen AD groep. Ja, er bestaat een groep in AD met deze naam, maar deze zal enkel toegang geven tot de event logs op de domain controllers daar domain controllers de enige servers zijn die geen lokale groepen kennen. Op alle andere servers in een Windows domein is deze groep niet automatisch gekoppeld aan de lokale groep.

En tenzij de onderneming de rechten van domain admins afneemt, heb je nooit enterprise admin nodig maar "slechts" domain admin om op elke domain joined systeem lokale admin rechten te hebben en alle logs te kunnen uitlezen. Inclusief de domain controllers. Maar nog beter zou natuurlijk zijn als alle relevante logs gewoon al gestreamd worden naar een log agregator (graylog, ELK, ....) want dan moet je enkel daar maar rechten op krijgen voor een audit uit te voeren.

ibmpc schreef op maandag 23 december 2024 @ 22:30:
Ik ga de aanvraag indienen voor een voor toegang tot een Active Directory. Voor een initiele audit vraag ik altijd Global Reader aan in Entra omdat ik geen change rechten wil hebben.

Dit zou inderdaad de juiste zijn, maar nog steeds wel heel veel rechten.

Welke rollen in Active Directory moet ik precies aanvragen? Ik kom zelf op de volgende rollen:
• Domain User
• Event Log Readers
• Enterprise Read-only Domain Controllers - eigenlijk bedoeld voor iets anders, maar deze group zou leestoegang moeten geven tot alles

Welke rollen moet ik nog meer aanvragen? Ik wil alle AD gegevens kunnen lezen, maar niets kunnen wijzigen.

Meestal heb je in Active Directory Services (AD of ADS) bijna altijd alle lees rechten al om alles in AD te lezen. Tenzij bedrijven hierin specifieke aangepaste rechten hebben gebruikt.

Voor wat je nu vermeld, heb je geen Event Log reader rechten nodig, en helemaal geen Enterprise Read Only Domain Controller rechten. Ik zou je aanvraag icm met deze rechten direct afwijzen.

ibmpc schreef op maandag 23 december 2024 @ 22:30:
Ik ga de aanvraag indienen voor een voor toegang tot een Active Directory. Voor een initiele audit vraag ik altijd Global Reader aan in Entra omdat ik geen change rechten wil hebben.

Wat is je opdracht überhaubt? Ga je een audit doen? Zo ja, waarvan precies?

Active Directory is een directory service, waarin veel verschillende informatie opgeslagen kan worden. Ga je de informatie auditen? de beveiliging of rechtenstructuur? Custom uitbreidingen die erop aangebracht zijn?

Begin eens bij het begin...

ibmpc schreef op donderdag 26 december 2024 @ 18:51:
Klant wil van het beheer van AD af en wij willen kijken of de AD wellicht helemaal weg kan in plaats van dat wij het beheer overnemen.

ibmpc schreef op dinsdag 24 december 2024 @ 18:58:
Ik heb weinig ervaring met Active Directory.

Is het een idee om een meer ervaren collega te betrekken? Of een klant naar een cloud-only oplossing kan is doorgaans gewoon een vraaggesprek. Zie niet heel erg in hoe een 'audit' door iemand met weinig AD-kennis meer inzicht gaat geven dan wat klant je nu al kan vertellen.

ADDS en Entra zou ik niet op dezelfde hoop schuiven. Hoewel je niet de eerste bent en zeker niet de laatste, worden ADDS en Entra nog altijd teveel met elkaar vergeleken dan/wel niet geassocieerd.

Zoals reeds benoemd heeft een Domain User lees rechten op alle objecten in Active Directory.

Middels Delegation of Control kunnen specifieke RBAC permissies gezet worden in Active Directory.

Microsoft Documentatie

In de praktijk zie je dit niet vaak in kleinere omgevingen. Daar wordt helaas nog vaak Domain Admin uitgedeeld. Dit is overigens gelijk een red flag bij een inbeheername. Wees hier bedacht op.

De groep "Enterprise Read-only Domain Controllers" is voor het beheer van RODC's. RODC's kom je af en toe tegen bij grotere organsiaties. In veel gevallen hebben de meeste organisaties enkele writable domain controllers draaien.

Ik denk dat je de scope van je Audit breder moet trekken naar Active Directory Domain Services. Dus denk hier ookbij aan DNS, Group Policys ,etc ,etc ,etc en alle andere bij behorende "legacy" configuraties.Niet om je af te schrikken, bescherm jezelf tegen ouder zeer of technische schuld. hoe je het noemen wil :-)

Zijstapje: ben je zelf de auditor, of gaat een auditor dit vragen en moet jij iets inregelen?

In het eerste geval mag ik hopen dat je gewoon de vraag bij de te auditten partij kunt neerleggen dat je leesrechten op de servers en al hun logs wilt hebben. Hoe ze dat regelen is hun probleem lijkt me. Kunnen ze dat niet heb je al een finding te pakken

In het tweede geval: als je het hier zo moet vragen kun je ook de opdracht teruggeven met "ik heb gezocht maar dit gaat mijn pet te boven"

Dus vertel even welke kant van de tafel je zit en wat je exact nodig hebt en waarom. Scheelt een hoop mensen hier een hoop meedenken

Goed besluit! Indien je geen logge enterprise bent kun je in veel gevallen wel zonder on-prem AD.

Hoewel het voor het beheer van servers nog altijd erg makkelijk is. Maar zolang er maar enkele servers beheerd moeten worden of op korte termijn verhuizen naar een "As a Service" moet het wel goed gaan.

Wat betreft de kennis ben ik helemaal met je eens. Voor mijn gevoel is echte AD kennis altijd al schaars geweest. Daarom is privilege escelation in veel gevallen eenvoudig mogelijk. Omdit tegen te gaan zijn er door Microsoft aanbevelingen gedaan m.b.t. de inrichting. Zoals het AD tier model. Je slaat de spijker op zijn kop, dit is voor de gemiddelde klant niet realistisch/haalbaar.
Ben op dit moment bij een klant AD hardening aan het uitvoeren. Maar er komt nogal wat bij kijken :-p.

Microsoft AD Tiered Model

ibmpc schreef op donderdag 26 december 2024 @ 18:51:
Klant wil van het beheer van AD af en wij willen kijken of de AD wellicht helemaal weg kan in plaats van dat wij het beheer overnemen.

Maar dan hoef je toch geen complete audit te doen? Kijk wat de randvoorwaarden zijn om de on-premise AD uit te faseren, en controleer dan gericht of je omgeving daar aan voldoet.

ibmpc schreef op woensdag 1 januari 2025 @ 22:11:
[...]
Ik ben de auditor


[...]
Precies. Ik vraag om een Global Reader equivalent in AD, zij weten het niet. Vandaar de vraag, ik wist het ook niet. Maar het antwoord is al gegeven, in het oude Active Directory is de Domain User ook meteen een Global Reader. Vanuit de tijdsgeest van AD begrijp ik dat wel.


[...]

Thanks. Wij hebben altijd al hun Intune beheerd en zij hun AD. Zij hebben inmiddels ook gezien dat het allemaal veel te veel kost om een AD infra in leven te houden. Ik heb al gezien dat er toch nog een fileshare is die gelukkig readonly is, maar inmiddels kan een Entra Joined device gewoon een fileshare benaderen. Alle devices gaan dus naar Entra Joined.

Entra ID kan inderdaad gewoon een fileshare benaderen, let wel op als Windows Hello for Business gebruikt wordt of je gaat dat gebruiken dat je CloudKerberos moet configureren om niet na het inloggen met WHFB nog te moeten authentiseren op de file share. Als je domain forest level nog op 2008 (Niet de R2) draait dan kan dit niet en moet je eerst verhogen.

Ik zou die file share ook direct naar SharePoint/Teams migreren.

ibmpc schreef op woensdag 1 januari 2025 @ 22:11:
[...]
Ik ben de auditor

Teruglezend denk ik dat je die term misschien niet moet gebruiken. Een audit is een onderzoek waar je iets vergelijkt met de standaard, dit impliceert ook dat een auditor over voldoende kennis beschikt om onregelmatigheden te kunnen vinden. Als je iets wilt bekijken waar je zelf eigenlijk weinig of geen kennis van hebt dan ben je geen auditor.

Niet dat ik taalpolitie wil spelen, maar dit verklaart wel een aantal reacties in dit topic die verbaasd waren dat een auditor niet weet welke rechten hij nodig heeft.

@Jazzy ik snap wat je zegt en waarom, maar dat lijkt me onderhevig aan het type audit en de focus daarvan. Noot: ik ben geen auditor, maar vaak genoeg mee van doen gehad

Punt is: een auditor wil dingen zien. Het hoe dan precies daarvan, dat kan op vele manieren.
Maar als ik een auditor was vroeg ik of er splunk oid was, dan wel een log collector waar ik in kon grutten. Stuk makkelijker

Maar met een gewone AD-account icm als toch nodig toegang tot de gewenste logs zou je een eind moeten komen inderdaad.

ibmpc schreef op donderdag 26 december 2024 @ 18:51:
De reden voor leesrechten is simpel. Met leesrechten kun je nooit accountable worden gehouden voor changes die worden gemaakt.

Dat blijft overigens wel een reden om van alles dat je doet te loggen wat, hoe en waarom. (Ook qua AVG handig).

ibmpc schreef op donderdag 2 januari 2025 @ 17:16:
[...]
Maar los daarvan, de vraag was simpel. Global Reader voor AD. Wat hebben alle randvoorwaarden van die vraag daarmee te maken?

Ik lees fileshares... Ik ben dan ook benieuwd hoe je gaat bepalen hóe deze fileshare gerealiseerd wordt. Is dit een "standaard" fileshare, of wordt er iets al DFS voor gebruikt. En dan heb je ook nog zoiets als Hidden Fileshares....

Dat ga je allemaal niet inzichtelijk krijgen met een global reader voor AD. Toegang tot het Windows Admin Center (indien ingezet) of de Lokale Server Managers is dan wel handig.

ibmpc schreef op donderdag 2 januari 2025 @ 17:16:
Ik voer een kritisch onderzoek uit naar de bedrijfsvoering gescoopt tot de server infra, omdat er geen documentatie is van de AD infrastructuur.

Kun je dat niet beter automatiseren? Kijk eens naar onderstaande link(s), en vraag of de huidige beheerders het script willen controleren, evt aanpassen en voor je willen draaien. Dit is niet de enige omgeving met verouderde documentatie. Er zijn legio betrouwbare scripts te vinden die hierbij helpen.

Active Directory V3 Documentation Script
ADReport PowerShell Script

ibmpc schreef op vrijdag 3 januari 2025 @ 16:43:
Wat een topic-creep wordt dit topic.

De originele vraag:

[...]


Het enige juiste antwoord:

[...]


En ik ben geholpen door:

[...]


De fileshare ben ik gaandeweg tegengekomen. Alles zou al naar SharePoint zijn gemigreerd, maar toch niet dus. Daarom doe ik een "kritisch onderzoek" of volgens de Van Dale een audit. Ik ben bekend met andere rollen in AD, maar de initiele vraag was nog altijd wat de Global Reader voor AD is. Ik doe de audit om te achterhalen wat voor items er nog zijn die zij niet hebben gemeld "Shoot, vergeten te zeggen dat er nog een fileshare was die voor één afdeling belangrijk is". Ook een OU tegengekomen die niet in Entra Connect wordt meegenomen, waar blijkbaar 10% van de devices in staan: "Soms vergeten we nieuwe computers in de juiste OU te zetten". Dus als AD eruit gaat, dan zou 10% van de devices offline gaan omdat die bij ons eerst niet bekend waren. Al die items komen straks op een stapel en krijgen straks hun individuele taakje en een individuele aanvraag voor extra rechten. Ik wil pas meer rechten als ik een plan heb gepresenteerd. Tot dan, Global Reader... excuses, Domain User.

Kan een domain user ook bij de FSMO rollen informatie?

ibmpc schreef op vrijdag 3 januari 2025 @ 16:43:
Wat een topic-creep wordt dit topic.

Dit is een forum, dat is letterlijk een plek om naar elkaar te luisteren. Naast een aantal inhoudelijke antwoorden krijg je ook wat feedback naar aanleiding van je vraagstelling en de gebruikte terminologie, die heeft namelijk een ander beeld geschapen dan jij bedoeld had.

Wel een inhoudelijk antwoord verwachten maar klagen over de feedback vind ik persoonlijk niet heel sterk.

En hoezo moet jij als auditor een plan presenteren? Dan maak en keur je je eigen vlees
Een audit is meestal onafhankelijk, legt de fouten bloot en het is aan de klant om ze dan op te lossen.

Maar iets zegt me dat jij gewoon ingehuurd bent om te zorgen dat de gaten bekend worden en gedicht worden. Das geen audit imho. Eerder een puimruim project wat je op een externe wilt kunnen afschuiven mocht er alsnog iets gemist worden

ibmpc schreef op vrijdag 3 januari 2025 @ 19:02:
[...]

Met approval van klant getest:
Ja, dat kan!
Een domain user kan zelfs met NTDSUTIL binden om de rollen te bekijken.

code:

1 2 3 4 5 6 7 8 9

fsmo maintenance: transfer infrastructure master ldap_modify_sW error 0x32(50 (Insufficient Rights). Ldap extended error message is 00002098: SecErr: DSID-03152D89, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 Win32 error returned is 0x2098(Insufficient access rights to perform the operation.) ) Depending on the error code this may indicate a connection, ldap, or role transfer error. Server "xxx" knows about 5 roles

Wat is het een mooi topic geworden (netdom query fsmo)

In zo'n publieke omgeving iets vragen aan techneuten is natuurlijk vragen om problemen :-p

hoe is het afgelopen? Klant kunnen helpen?

Nou nog het aanvraagproces en de approval procedure doorlichten zo te horen