estefania
Goto Top

Active Directory - Domänen-Administrator Absicherung

Abend.

Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.

1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?

2. Auf den Workstations wird die Domain-Admins Gruppe automatisch zu den Administratoren hinzugefügt, sobald der Rechner in die Domäne hinzugefügt wird. Wie kann denn verhindern, dass die Domain-Admins Gruppe auf jedem Rechner erscheint? Weil so würde es ja erlauben, dass sich jeder Domain Admin auf einer Workstation anmelden kann.

Danke euch.

Grüße
Estefania

Content-ID: 796339765

Url: https://administrator.de/contentid/796339765

Printed on: October 9, 2024 at 23:10 o'clock

it-fraggle
it-fraggle Jun 24, 2021 at 17:21:26 (UTC)
Goto Top
Du könntest damit schon anfangen, dass das Administrator gar nicht Administrator heißt. Im nächsten Schritt wird nicht mit dem Domänen-Administrator gearbeitet. Egal wo, wenn nicht zwingend notwendig.
Estefania
Estefania Jun 24, 2021 at 17:34:49 (UTC)
Goto Top
Dass der User nicht Administrator heisst, ist schon klar.
Aber ganz auf die Anmeldung kann man auch nicht verzichten.
z.B. um GPOs zu bearbeiten, denn standardmässig hat keiner drauf Zugriff.
Man müsste jedem Gruppenrichtlinienobjekt eine Berechtigung hinzufügen, denn vererben lässt es sich nicht.

Aber das war nicht unbedingt die Antwort auf meine Frage.
Danke trotzdem
SlainteMhath
SlainteMhath Jun 24, 2021 at 18:17:04 (UTC)
Goto Top
Moin,

wenn due den Admins nicht vertraust, dann darfst du sie nicht zum Domain-Admin machen, ganz einfach.

Im AD kannst du Rechte delegieren. D.h. du kannst Usern (oder bessser Gruppen) Rechte auf OUs und deren Unterobjekte geben.

Und du kannst per GPO AD-Gruppen zu lokalen Gruppen hinzufügen, um Rechte auf PCs oder Servern zu vergeben.

usw.

lg,
Slainte
c0d3.r3d
c0d3.r3d Jun 24, 2021 updated at 18:26:53 (UTC)
Goto Top
Hallo,

ich verstehe @Estefania so, dass sich die vorhandenen Administratoren-Konten innerhalb des ADs ausschließlich auf den DC(s) anmelden sollen dürfen und an keine Workstation, sowie nur auf eine begrenzte Anzahl an DC(s) (gleichzeitig?). Und sofern sich ein Domänen-Admin an eine Workstation anmeldet, soll dieser nicht direkt die vollen administrativen Rechte auf diesem System bekommen.

Aber ganz habe ich den Sinn noch nicht verstanden, warum sich kein Domänen-Admin auf einer WS anmelden sollen darf. Oder hat der Mitarbeiter lediglich ein Konto, was Domänenweite Admin Rechte hat? Falls ja -> Kontentrennung: Arbeitskonto (Standarduser ohne zusätliche Rechte) und ein weiteres Benutzerkonto für administrative Zwecke.
mbehrens
mbehrens Jun 24, 2021 at 18:28:21 (UTC)
Goto Top
Zitat von @Estefania:

Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.

1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?

Also soll so etwas wie das MIM PAM System von Microsoft implementiert werden?
Estefania
Estefania Jun 24, 2021 at 20:12:08 (UTC)
Goto Top
Der Domänen-Admin soll sich nicht auf einer Workstation anmelden können, denn hierfür gibt es schon eine andere Gruppe dafür, deren Mitglieder automatisch Admins auf den Rechnern werden (kommt per GPO)
nEmEsIs
nEmEsIs Jun 24, 2021 at 21:56:48 (UTC)
Goto Top
Hi

Schau dir das mal an:
https://www.google.de/amp/s/www.frankysweb.de/einfache-massnahmen-fuer-m ...

Und wenn du damit weiter machst überleg die Einführung von MS Laps für einen lokalen User sofern vorhanden.

Mit freundlichen Grüßen Nemesis
Dani
Dani Jun 27, 2021 updated at 21:34:21 (UTC)
Goto Top
Moin,
für beide Punkte 1) und 2) etwas Lesestoff für die Grundlagen und Aufbau des Verständnisses für Sicherheit im Active Directory:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...

https://www.msxfaq.de/windows/sicherheit/tier_012_security.htm
https://docs.microsoft.com/de-de/security/compass/privileged-access-acce ...
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
https://ernw.de/download/ERNW_ISH_Conference_2019_AD_Security_BP.pdf

Es ist kein Thema dass du zwischen Frühstück und Feierabend abhandeln kannst. Aus Erfahrung liegt der zeitliche Aufwand im Schnitt bei solchen Projekten bei 30-40 Manntage. Die Maßnahmen für ein sicheres AD sind meist erst einmal von organisatorischen Vorbereitungen, Maßnahmen geprägt. Die technische Umsetzung ist dazu im Vergleich zeitnah erledigt. Daher nichts überstürzten sondern in Ruhe planen, testen, dokumentieren.


Gruß,
Dani