Dedizierter User für Domänentrust

[PEASANT KING]

Moin moin,

ich benötige einen dedizierten Benutzer, der nichts anderes darf, als einen Domänen Trust zu prüfen und wenn etwas nicht stimmt den Trust zu erneuern. Ich habe mir ein Powershell Script geschrieben mit dem das super funktioniert.
Die Credentials sind auch verschlüsselt in einer XML File, aber durch das Anpassen könnte jeder die Credentials auslesen mittels einfachem Write-Output.

Damit es nicht schlimm ist, wenn man die Credentials uasliest würde ein Account nur für diesen Zweck erforderlich sein, der nur die Rechte zum Anlegen und prüfen eines Trusts hat.
Wie mache ich das unter Server 2019? Über Delegierung / Sicherheit habe ich nichts brauchbares gefunden leider.

Grüße

 

[T3Kila]

Wie oft stirbt den diese Vertrauensstellung, dass ihr das automatisiert?
Für die Neuanlage werden Domänen Administrator Rechte und zwar in beiden Domänen benötigt, wenn ich jetzt nicht falsch abgebogen bin.

PS Wie wäre es die Passwort Datei zu verschlüsseln, dass sie nur von diesem User auf diesem Domain Controller gelesen werden kann? Bei Umzug müsste die Datei neu erstellt werden?

 

[wern001]

Wie oft stirbt den diese Vertrauensstellung, dass ihr das automatisiert?

Normal stirbt das Vertrauensverhältnis nach 180 Tagen oder wenn irgendwas mit der Uhrzeit zu lange nicht stimmt. Hab auch schon erlebt das nach dem zurückspielen eines Backups auf dem Client das Vertrauensverhältnis gestorben ist.

 

[kartoffelpü]

Normal stirbt das Vertrauensverhältnis nach 180 Tagen

Du meinst vermutlich die Tombstone Lifetime? Die sollte ja nicht ablaufen, wenn die Vertrauensstellung normal funktioniert.
Wenn sowas ein halbes Jahr nicht auffällt, könnte man die Vertrauensstellung wohl auch einfach löschen.
Ich hab's noch nicht erlebt, dass so was einfach so kaputtging oder regelmäßig überprüft/repariert werden muss.

 

[derlorenz]

PS Wie wäre es die Passwort Datei zu verschlüsseln, dass sie nur von diesem User auf diesem Domain Controller gelesen werden kann

This.

Wobei ich nicht ganz verstehe, wozu das ganze. Aber ist auch nicht schlimm, muss nicht alles wissen. ^^

 

[PEASANT KING]

Das liegt daran, weil es als Relikt eine Domäne mit einem SBS2011 gibt als Altlast und dort sind zwei Server,
die ich nicht einfach so umziehen kann. Somit auch wenn SBS2011 es nicht erlaubt, besteht ein Trust zwischen Domäne SBS und der produktiven Domäne...

Wenn der Trust ausfällt, dann ist logisch sind die Zugriffe auf die Server nicht mehr gegeben.
Es erfolgt nur Zugriff von neue Domäne auf alte.

Bis die Altlasten endlich umgezogen sind und nein der Kram steht nicht im Internet rum xD und ist nach Außen nicht erreichbar, muss ich leider so unkonventionell das Ganze lösen.

Es funktioniert auch, mich stört einzig, dass die verschlüsselten Zugangsdaten theoretisch auslesbar wären.
Die Credentials aus den XML Files können eh nur von dem Account ausgelesen werden, von dem die verschmlüsselten XML erstellt wurden.

Aber einmal mehr sicher ist sicher, daher meine Frage.