Active Directory - Domänen-Administrator Absicherung

Abend.

Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.

1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?

2. Auf den Workstations wird die Domain-Admins Gruppe automatisch zu den Administratoren hinzugefügt, sobald der Rechner in die Domäne hinzugefügt wird. Wie kann denn verhindern, dass die Domain-Admins Gruppe auf jedem Rechner erscheint? Weil so würde es ja erlauben, dass sich jeder Domain Admin auf einer Workstation anmelden kann.

Danke euch.

Grüße
Estefania

Content-Key: 796339765

Url: https://administrator.de/contentid/796339765

Ausgedruckt am: 28.07.2021 um 00:07 Uhr

Mitglied: it-fraggle
it-fraggle 24.06.2021 um 19:21:26 Uhr
Goto Top
Du könntest damit schon anfangen, dass das Administrator gar nicht Administrator heißt. Im nächsten Schritt wird nicht mit dem Domänen-Administrator gearbeitet. Egal wo, wenn nicht zwingend notwendig.
Mitglied: Estefania
Estefania 24.06.2021 um 19:34:49 Uhr
Goto Top
Dass der User nicht Administrator heisst, ist schon klar.
Aber ganz auf die Anmeldung kann man auch nicht verzichten.
z.B. um GPOs zu bearbeiten, denn standardmässig hat keiner drauf Zugriff.
Man müsste jedem Gruppenrichtlinienobjekt eine Berechtigung hinzufügen, denn vererben lässt es sich nicht.

Aber das war nicht unbedingt die Antwort auf meine Frage.
Danke trotzdem
Mitglied: SlainteMhath
SlainteMhath 24.06.2021 um 20:17:04 Uhr
Goto Top
Moin,

wenn due den Admins nicht vertraust, dann darfst du sie nicht zum Domain-Admin machen, ganz einfach.

Im AD kannst du Rechte delegieren. D.h. du kannst Usern (oder bessser Gruppen) Rechte auf OUs und deren Unterobjekte geben.

Und du kannst per GPO AD-Gruppen zu lokalen Gruppen hinzufügen, um Rechte auf PCs oder Servern zu vergeben.

usw.

lg,
Slainte
Mitglied: c0d3.r3d
c0d3.r3d 24.06.2021 aktualisiert um 20:26:53 Uhr
Goto Top
Hallo,

ich verstehe @Estefania so, dass sich die vorhandenen Administratoren-Konten innerhalb des ADs ausschließlich auf den DC(s) anmelden sollen dürfen und an keine Workstation, sowie nur auf eine begrenzte Anzahl an DC(s) (gleichzeitig?). Und sofern sich ein Domänen-Admin an eine Workstation anmeldet, soll dieser nicht direkt die vollen administrativen Rechte auf diesem System bekommen.

Aber ganz habe ich den Sinn noch nicht verstanden, warum sich kein Domänen-Admin auf einer WS anmelden sollen darf. Oder hat der Mitarbeiter lediglich ein Konto, was Domänenweite Admin Rechte hat? Falls ja -> Kontentrennung: Arbeitskonto (Standarduser ohne zusätliche Rechte) und ein weiteres Benutzerkonto für administrative Zwecke.
Mitglied: mbehrens
mbehrens 24.06.2021 um 20:28:21 Uhr
Goto Top
Zitat von @Estefania:

Ich würde gerne unsere AD bestehend aus 5 Domain Controllern absichern, aber zuvor würde ich gerne wie ihr diesbezüglich vorgehen würdet.

1. Die Domänen-Admins sollen sich mit deren Accounts nur auf den Domänen-Controllern anmelden können und sonst nirgendwo anders. Wie löst man es am besten, eventuell nur über eine GPO? Und kann man zum Beispiel die Anmeldung nur bei 3 von 5 Domain Controllern erlauben?

Also soll so etwas wie das MIM PAM System von Microsoft implementiert werden?
Mitglied: Estefania
Estefania 24.06.2021 um 22:12:08 Uhr
Goto Top
Der Domänen-Admin soll sich nicht auf einer Workstation anmelden können, denn hierfür gibt es schon eine andere Gruppe dafür, deren Mitglieder automatisch Admins auf den Rechnern werden (kommt per GPO)
Mitglied: nEmEsIs
nEmEsIs 24.06.2021 um 23:56:48 Uhr
Goto Top
Hi

Schau dir das mal an:
https://www.google.de/amp/s/www.frankysweb.de/einfache-massnahmen-fuer-m ...

Und wenn du damit weiter machst überleg die Einführung von MS Laps für einen lokalen User sofern vorhanden.

Mit freundlichen Grüßen Nemesis
Mitglied: Dani
Dani 27.06.2021 aktualisiert um 23:34:21 Uhr
Goto Top
Moin,
für beide Punkte 1) und 2) etwas Lesestoff für die Grundlagen und Aufbau des Verständnisses für Sicherheit im Active Directory:
https://www.frankysweb.de/active-directory-einfache-manahmen-fr-mehr-sic ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-admin ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...
https://www.frankysweb.de/einfache-massnahmen-fuer-mehr-sicherheit-im-ad ...

https://www.msxfaq.de/windows/sicherheit/tier_012_security.htm
https://docs.microsoft.com/de-de/security/compass/privileged-access-acce ...
https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/plan/secu ...
https://ernw.de/download/ERNW_ISH_Conference_2019_AD_Security_BP.pdf

Es ist kein Thema dass du zwischen Frühstück und Feierabend abhandeln kannst. Aus Erfahrung liegt der zeitliche Aufwand im Schnitt bei solchen Projekten bei 30-40 Manntage. Die Maßnahmen für ein sicheres AD sind meist erst einmal von organisatorischen Vorbereitungen, Maßnahmen geprägt. Die technische Umsetzung ist dazu im Vergleich zeitnah erledigt. Daher nichts überstürzten sondern in Ruhe planen, testen, dokumentieren.


Gruß,
Dani
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 17 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 16 StundenFrageNetzwerkmanagement16 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 10 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...