Anhang E: Schützen von Organisationsadministratorgruppen in Active Directory

Anhang E: Schützen von Organisationsadministratorgruppen in Active Directory

Die Gruppe „Organisations-Admins“ (Enterprise Admins, EA), die sich in der Stammdomäne der Gesamtstruktur befindet, sollte keine Benutzer*innen auf täglicher Basis enthalten (mit der möglichen Ausnahme des Administratorkontos der Stammdomäne, sofern es wie unter Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben geschützt ist).

Organisations-Admins sind standardmäßig Mitglieder der Administratoren-Gruppe in jeder Domäne in der Gesamtstruktur. Sie sollten die EA-Gruppe nicht aus den Administratoren-Gruppen in jeder Domäne entfernen, da im Falle eines Szenarios für die Notfallwiederherstellung einer Gesamtstruktur wahrscheinlich EA-Rechte erforderlich sind. Die Gruppe „Organisations-Admins“ der Gesamtstruktur sollte wie in den folgenden ausführlichen Anweisungen beschrieben geschützt werden.

Führen Sie für die Gruppe „Organisations-Admins“ in der Gesamtstruktur die folgenden Schritte aus:

  1. In Gruppenrichtlinienobjekten (Group Policy Objects, GPOs), die mit Organisationseinheiten (Organisation Units, OU) mit Mitgliedsservern und Arbeitsstationen in jeder Domäne verknüpft sind, sollte die EA-Gruppe den folgenden Benutzerrechten unter Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

    • Lokal anmelden verweigern

    • Anmelden über Remotedesktopdienste verweigern

  2. Konfigurieren Sie die Überwachung, um Warnungen zu senden, wenn Änderungen an den Eigenschaften oder der Mitgliedschaft der Gruppe „Organisations-Admins“ vorgenommen werden.

Ausführliche Anweisungen zum Entfernen aller Mitglieder aus der Gruppe „Organisations-Admins“

  1. Klicken Sie im Server-Manager auf "Extras" und dann auf "Active Directory-Benutzer und -Computer".

  2. Wenn Sie die Stammdomäne für die Gesamtstruktur nicht verwalten, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf <"Domäne>", und klicken Sie dann auf " Domäne ändern " (wobei <"Domäne> " der Name der Domäne ist, die Sie derzeit verwalten).

    Screenshot: Hervorhebung der Menüoption zum Ändern der Domäne

  3. Klicken Sie im Dialogfeld "Domäne ändern " auf "Durchsuchen", wählen Sie die Stammdomäne für die Gesamtstruktur aus, und klicken Sie auf "OK".

    Screenshot: Schaltfläche „OK“ im Dialogfeld zum Ändern der Domäne

  4. Gehen Sie wie folgt vor, um alle Mitglieder aus der EA-Gruppe zu entfernen:

    1. Doppelklicken Sie auf die Gruppe "Unternehmensadministratoren ", und klicken Sie dann auf die Registerkarte " Mitglieder ".

      Screenshot: Registerkarte „Mitglieder“ in der Gruppe „Organisations-Admins“

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf "Entfernen", klicken Sie auf "Ja", und klicken Sie dann auf "OK".

  5. Wiederholen Sie Schritt 2, bis alle Mitglieder der EA-Gruppe entfernt wurden.

Ausführliche Anweisungen zum Schützen von Organisations-Admins in Active Directory

  1. Klicken Sie im Server-Manager auf "Extras" und dann auf "Gruppenrichtlinienverwaltung".

  2. Erweitern Sie in der Konsolenstruktur zunächst <Gesamtstruktur>\Domänen\<Domäne> und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    Note

    In einer Gesamtstruktur, die mehrere Domänen enthält, sollte ein ähnliches Gruppenrichtlinienobjekt in jeder Domäne erstellt werden, die erfordert, dass die Gruppe „Organisations-Admins“ geschützt werden muss.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot: Menüoption „Neu“ im Menü für Gruppenrichtlinienobjekte

  4. Geben Sie <>im Dialogfeld "Neues Gruppenrichtlinienobjekt" den Namen des Gruppenrichtlinienobjekts ein, und klicken Sie auf "OK" (wobei <GPO-Name> der Name dieses Gruppenrichtlinienobjekts ist).

    Screenshot: Eingeben des GPO-Namens und Auswählen des Quell-Starter-Gruppenrichtlinienobjekts

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <den Gruppenrichtlinienobjektnamen>, und klicken Sie dann auf "Bearbeiten".

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot: Auswählen der Option zum Zuweisen von Benutzerrechten

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Unternehmensadministratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen

    4. Klicken Sie erneut auf "OK" und dann auf "OK" .

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ wie folgt als Batchauftrag anmelden:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Note

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf "Speicherorte ", und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Unternehmensadministratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ als Batchauftrag anmelden

    4. Klicken Sie erneut auf "OK" und dann auf "OK" .

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der EA-Gruppe mit den folgenden Schritten als Dienst anmelden:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Note

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf "Speicherorte ", und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Unternehmensadministratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der EA-Gruppe als Dienst anmelden

    4. Klicken Sie erneut auf "OK" und dann auf "OK" .

  10. Konfigurieren Sie Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten lokal bei Mitgliedsservern und Arbeitsstationen anmelden:

    1. Doppelklicken Sie auf Lokal anmelden verweigern, und wählen Sie dann Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Note

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf "Speicherorte ", und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Unternehmensadministratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ lokal bei Mitgliedsservern und Arbeitsstationen anmelden

    4. Klicken Sie erneut auf "OK" und dann auf "OK" .

  11. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Note

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf "Speicherorte ", und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Unternehmensadministratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen

    4. Klicken Sie erneut auf "OK" und dann auf "OK" .

  12. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  13. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot: Hervorhebung der Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen...“

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf "OK".

      Screenshot: Auswählen der soeben erstellten GPO

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

    6. In einer Gesamtstruktur, die mehrere Domänen enthält, sollte ein ähnliches Gruppenrichtlinienobjekt in jeder Domäne erstellt werden, die erfordert, dass die Gruppe „Organisations-Admins“ geschützt werden muss.

Important

Wenn Jumpserver zum Verwalten von Domänencontrollern und Active Directory verwendet werden, stellen Sie sicher, dass sich die Jumpserver in einer Organisationseinheit befinden, mit der diese Gruppenrichtlinienobjekte nicht verknüpft sind.

Überprüfungsschritte

Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des NET USE-Befehls zuzuordnen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich lokal mit einem Konto an, das Mitglied der EA-Gruppe ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im Suchfelddie Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung, und klicken Sie dann auf "Als Administrator ausführen ", um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Rechteerweiterung zu genehmigen, klicken Sie auf "Ja".

    Screenshot: Dialogfeld zum Genehmigen der Rechteerweiterung

  5. Geben Sie im Eingabeaufforderungsfenster"net use \\<Server Name>\c$" ein, wobei <der Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

    Screenshot: Fehlermeldung, die angezeigt werden sollte

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  2. Geben Sie im SuchfeldEditor ein, und klicken Sie auf Editor.

  3. Geben Sie in Editor"dir:" ein.

  4. Klicken Sie auf "Datei", und klicken Sie auf " Speichern unter".

  5. Geben Sie <im Feld "Dateiname".bat"Dateiname> " ein (wobei <"Dateiname>" der Name der neuen Batchdatei ist).

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  2. Geben Sie im Suchfeld den Aufgabenplaner ein, und klicken Sie auf "Vorgangsplaner".

    Note

    Geben Sie auf Computern unter Windows 8 im Suchfeld"Vorgänge planen" ein, und klicken Sie auf " Vorgänge planen".

  3. Klicken Sie auf "Aktion", und klicken Sie auf " Aufgabe erstellen".

  4. Geben Sie <im Dialogfeld "Aufgabe erstellen" den Namen "Vorgang>" ein (wobei <"Vorgangsname>" der Name des neuen Vorgangs ist).

  5. Klicken Sie auf die Registerkarte "Aktionen " und dann auf "Neu".

  6. Wählen Sie im Feld "Aktion " die Option "Programm starten" aus.

  7. Klicken Sie unter "Programm/Skript" auf " Durchsuchen", suchen Sie die im Abschnitt " Batchdatei erstellen" erstellte Batchdatei , und klicken Sie auf "Öffnen".

  8. Klicken Sie auf "OK".

  9. Klicken Sie auf die Registerkarte "Allgemein ".

  10. Klicken Sie im Feld "Sicherheitsoptionen " auf " Benutzer oder Gruppe ändern".

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "EAs" ist, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und dann Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf "OK".

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Benutzeranmeldeinformationen zum Ausführen der Aufgabe angefordert werden.

  15. Klicken Sie nach der Eingabe der Anmeldeinformationen auf "OK".

  16. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot: Dialogfeld „Taskplaner“

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

  4. Suchen und doppelklicken Sie auf "Druckspooler".

  5. Klicken Sie auf die Registerkarte "Anmelden ".

  6. Wählen Sie unter Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf "Durchsuchen", geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "EAs" ist, klicken Sie auf " Namen überprüfen", und klicken Sie auf "OK".

  8. Geben Sie unter "Kennwort" und " Kennwort bestätigen" das Kennwort des ausgewählten Kontos ein, und klicken Sie auf "OK".

  9. Klicken Sie dreimal mehr auf OK .

  10. Klicken Sie mit der rechten Maustaste auf den Druckspoolerdienst , und wählen Sie "Neu starten" aus.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot: Meldung, dass Windows den Druckwarteschlangendienst nicht starten konnte

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

  4. Suchen und doppelklicken Sie auf "Druckspooler".

  5. Klicken Sie auf die Registerkarte "Anmelden ".

  6. Wählen Sie unter Anmelden als das Konto Lokales System aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellung „Lokal anmelden verweigern“

  1. Versuchen Sie, sich mithilfe eines Kontos, das Mitglied der EA-Gruppe ist, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation lokal anzumelden, der bzw. die von den GPO-Änderungen betroffen ist. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot: Meldung, dass die verwendete Anmeldemethode nicht zulässig ist

Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  2. Geben Sie im Suchfelddie Remotedesktopverbindung ein, und klicken Sie dann auf "Remotedesktopverbindung".

  3. Geben Sie im Feld "Computer " den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie dann auf "Verbinden". (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)

  4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für ein Konto an, das Mitglied der EA-Gruppe ist.

  5. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Schützen von EA-Gruppen

  • Last updated on