Anhang G: Schützen von Administratorgruppen in Active Directory

Anhang G: Schützen von Administratorgruppen in Active Directory

Wie bei den Gruppen „Unternehmensadministratoren“ (EA) und „Domänenadministratoren“ (DA) sollte die Mitgliedschaft in der Gruppe „Integrierte Administratoren“ (BA) nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. In der Gruppe „Administratoren“ sollten keine allgemeinen Benutzerkonten vorhanden sein, mit Ausnahme des integrierten Administratorkontos für die Domäne, wenn es wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt wurde.

Administratoren sind standardmäßig die Besitzer der meisten AD DS-Objekte in ihren jeweiligen Domänen. Die Mitgliedschaft in dieser Gruppe kann in Build- oder Notfallwiederherstellungsszenarien erforderlich sein, in denen der Besitz oder die Fähigkeit zur Übernahme des Besitzes von Objekten erforderlich ist. Darüber hinaus erben DAs und EAs eine Reihe ihrer Rechte und Berechtigungen aufgrund ihrer Standardmitgliedschaft in der Gruppe „Administratoren“. Die Standardgruppenschachtelung für privilegierte Gruppen in Active Directory sollte nicht geändert werden, und die Gruppe „Administratoren“ jeder Domäne sollte wie in den folgenden schrittweisen Anweisungen beschrieben geschützt werden.

! ACHTUNG Die in diesem Dokument beschriebenen Schritte sollten sorgfältig in einer Nichtproduktionsumgebung getestet werden, bevor sie in der Produktion ausgeführt werden.

Für die Gruppe „Administratoren“ in jeder Domäne in der Gesamtstruktur:

1. Entfernen Sie alle Mitglieder aus der Gruppe „Administratoren“, ggf. mit Ausnahme des integrierten Administratorkontos für die Domäne, vorausgesetzt, es wurde wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt.

2. In Gruppenrichtlinienobjekten, die mit Organisationseinheiten verknüpft sind, die Mitgliedsserver und Arbeitsstationen in jeder Domäne enthalten, sollte die BA-Gruppe den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzugefügt werden:

   • Zugriff vom Netzwerk auf diesen Computer verweigern

   • Anmelden als Batchauftrag verweigern

   • Anmelden als Dienst verweigern

3. Auf der Organisationseinheit für Domänencontroller in jeder Domäne in der Gesamtstruktur sollten der Gruppe „Administratoren“ die folgenden Benutzerrechte gewährt werden:

   • Auf diesen Computer vom Netzwerk aus zugreifen.

   • Lokale Anmeldung zulassen

   • Anmelden über Remotedesktopdienste zulassen

4. Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an Eigenschaften oder Mitgliedschaften der Gruppe „Administratoren“ vorgenommen werden.

Schrittweise Anweisungen zum Entfernen aller Mitglieder aus der Gruppe „Administratoren“

1. Klicken Sie im Server-Manager auf "Extras" und dann auf "Active Directory-Benutzer und -Computer".

2. Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe „Administratoren“ zu entfernen:

   1. Doppelklicken Sie auf die Gruppe "Administratoren ", und klicken Sie auf die Registerkarte " Mitglieder ".

      

   2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf "Entfernen", klicken Sie auf "Ja", und klicken Sie dann auf "OK".

3. Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe „Administratoren“ entfernt wurden.

Schrittweise Anweisungen zum Sichern von Administratorengruppen in Active Directory

1. Klicken Sie im Server-Manager auf "Extras" und dann auf "Gruppenrichtlinienverwaltung".

2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

   

4. Geben Sie <>im Dialogfeld "Neues Gruppenrichtlinienobjekt" den Namen des Gruppenrichtlinienobjekts ein, und klicken Sie auf "OK" (wobei GPO-Name der Name dieses Gruppenrichtlinienobjekts ist).

   

5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

   

7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Administratoren“ mit den folgenden Schritten über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

   1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Geben Sie "Administratoren" ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Batchauftrag anmelden:

   1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Geben Sie "Administratoren" ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Dienst anmelden:

   1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Geben Sie "Administratoren" ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

11. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

       

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf "OK".

       

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

       Important

       Wenn Jumpserver zum Verwalten von Domänencontrollern und Active Directory verwendet werden, stellen Sie sicher, dass sich die Jumpserver in einer Organisationseinheit befinden, mit der diese Gruppenrichtlinienobjekte nicht verknüpft sind.

       Note

       Wenn Sie Einschränkungen für die Gruppe „Administratoren“ in Gruppenrichtlinienobjekten implementieren, wendet Windows die Einstellungen nicht nur auf die Mitglieder der Gruppe „Administratoren“ der Domäne auch auf Mitglieder der lokalen Administratorgruppe eines Computers an. Daher sollten Sie beim Implementieren von Einschränkungen in der Gruppe „Administratoren“ Vorsicht walten lassen. Obwohl es ratsam ist, Netzwerk-, Batch- und Dienstanmeldungen für Mitglieder der Gruppe „Administratoren“ zu verbieten, wo immer dies möglich ist, sollten lokale Anmeldungen oder Anmeldungen über Remotedesktopdienste nicht eingeschränkt werden. Das Blockieren dieser Anmeldetypen kann die legitime Verwaltung eines Computers durch Mitglieder der lokalen Administratorgruppe blockieren.

       Der folgende Screenshot zeigt Konfigurationseinstellungen, die zusätzlich zum Missbrauch von integrierten lokalen oder Domänenadministratorgruppen den Missbrauch von integrierten lokalen und Domänenadministratorkonten blockieren. Beachten Sie, dass das Benutzerrecht Anmelden über Remotedesktopdienste verweigern die Gruppe „Administratoren“ nicht einschließt, da die Einbeziehung dieser Gruppe in diese Einstellung diese Anmeldungen auch für Konten blockieren würde, die Mitglieder der Gruppe „Administratoren“ des lokalen Computers sind. Wenn Dienste auf Computern so konfiguriert sind, dass sie im Kontext einer der in diesem Abschnitt beschriebenen privilegierten Gruppen ausgeführt werden, kann die Implementierung dieser Einstellungen zu Fehlern bei Diensten und Anwendungen führen. Daher sollten Sie, wie bei allen Empfehlungen in diesem Abschnitt, die Einstellungen gründlich auf Anwendbarkeit in Ihrer Umgebung testen.

       

Schrittweise Anweisungen zum Gewähren von Benutzerrechten für die Gruppe „Administratoren“

1. Klicken Sie im Server-Manager auf "Extras" und dann auf "Gruppenrichtlinienverwaltung".

2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

   

4. Geben Sie <>im Dialogfeld "Neues Gruppenrichtlinienobjekt" den Namen des Gruppenrichtlinienobjekts ein, und klicken Sie auf "OK" (wobei <GPO-Name> der Name dieses Gruppenrichtlinienobjekts ist).

   

5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

   

7. Konfigurieren Sie die Benutzerrechte, damit Mitglieder der Gruppe „Administratoren“ über das Netzwerk auf Domänencontroller zugreifen können, indem Sie die folgenden Schritte ausführen:

   1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

8. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte lokal anzumelden:

   1. Doppelklicken Sie auf Lokal anmelden zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Geben Sie "Administratoren" ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

9. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte über Remotedesktopdienste anzumelden:

   1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

   2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

   3. Geben Sie "Administratoren" ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      

   4. Klicken Sie erneut auf "OK" und dann auf "OK" .

10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

11. Verknüpfen Sie in Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit der Organisationseinheit für Domänencontroller, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit für Domänencontroller, und klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

       

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf "OK".

       

Überprüfungsschritte

Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des NET USE-Befehls zuzuordnen.

1. Melden Sie sich mit einem Konto an, das Mitglied der Gruppe „Administratoren“ ist.

2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

3. Geben Sie im Suchfelddie Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung, und klicken Sie dann auf "Als Administrator ausführen ", um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

4. Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.

   

5. Geben Sie im Eingabeaufforderungsfenster"net use \\<Server Name>\c$" ein, wobei <der Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den Sie über das Netzwerk zugreifen möchten.

6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

   

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

2. Geben Sie im SuchfeldEditor ein, und klicken Sie auf Editor.

3. Geben Sie in Editor"dir:" ein.

4. Klicken Sie auf "Datei", und klicken Sie auf " Speichern unter".

5. Geben Sie <im Feld "Dateiname".bat"Dateiname> " ein (wobei <"Dateiname>" der Name der neuen Batchdatei ist).

Planen einer Aufgabe

1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

2. Geben Sie im Suchfeld den Aufgabenplaner ein, und klicken Sie auf "Vorgangsplaner".

   Note

   Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Feld „Suchen“ den Text „Aufgaben planen“ ein, und klicken Sie auf „Aufgaben planen“.

3. Klicken Sie auf "Aktion", und klicken Sie auf " Aufgabe erstellen".

4. Geben Sie <im Dialogfeld "Aufgabe erstellen" den Namen "Vorgang>" ein (wobei <"Vorgangsname>" der Name des neuen Vorgangs ist).

5. Klicken Sie auf die Registerkarte "Aktionen " und dann auf "Neu".

6. Wählen Sie im Feld "Aktion " die Option "Programm starten" aus.

7. Klicken Sie im Feld "Programm/Skript " auf "Durchsuchen", suchen Sie die batchdatei, die im Abschnitt " Batchdatei erstellen " erstellt wurde, und klicken Sie auf "Öffnen".

8. Klicke auf OK.

9. Klicken Sie auf die Registerkarte "Allgemein ".

10. Klicken Sie im Feld "Sicherheitsoptionen " auf " Benutzer oder Gruppe ändern".

11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "Administratoren" ist, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

13. Klicke auf OK.

14. Es sollte ein Dialogfeld angezeigt werden, in dem die Benutzeranmeldeinformationen zum Ausführen der Aufgabe angefordert werden.

15. Klicken Sie nach der Eingabe des Kennworts auf "OK".

16. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

4. Suchen und doppelklicken Sie auf "Druckspooler".

5. Klicken Sie auf die Registerkarte "Anmelden ".

6. Wählen Sie im Feld Anmelden als die Option Dieses Konto aus.

7. Klicken Sie auf "Durchsuchen", geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "Administratoren" ist, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

8. Geben Sie in den Feldern "Kennwort" und " Kennwort bestätigen " das Kennwort des ausgewählten Kontos ein, und klicken Sie auf "OK".

9. Klicken Sie dreimal mehr auf OK .

10. Klicken Sie mit der rechten Maustaste auf "Spooler drucken ", und klicken Sie dann auf "Neu starten".

11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

4. Suchen und doppelklicken Sie auf "Druckspooler".

5. Klicken Sie auf die Registerkarte "Anmelden ".

6. Klicken Sie im Feld Anmelden als auf Lokales Systemkonto und dann auf OK.