Welches Konzept fuer Adminaccounts in der AD
Hallo Leute,
ich möchte in meinem AD die Adminaccounts separieren um möglichst wenig Angriffsfläche zu bieten. Das wäre einer der ersten Punkte aus dem Dokument "Securing the Active Directory". Also ich möchte so wenig wie möglich Domain-Admins haben. Es sollen z.B. Admins nur für GPOs geben oder für´s Computer Management (Computer Objekte) etc.
Könnt ihr mir paar Vorschläge machen welche Art von Admins ich einrichten müsste??? sollte ich hier in der AD mit "Dlegation Control" arbeiten?
ich möchte in meinem AD die Adminaccounts separieren um möglichst wenig Angriffsfläche zu bieten. Das wäre einer der ersten Punkte aus dem Dokument "Securing the Active Directory". Also ich möchte so wenig wie möglich Domain-Admins haben. Es sollen z.B. Admins nur für GPOs geben oder für´s Computer Management (Computer Objekte) etc.
Könnt ihr mir paar Vorschläge machen welche Art von Admins ich einrichten müsste??? sollte ich hier in der AD mit "Dlegation Control" arbeiten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300360
Url: https://administrator.de/forum/welches-konzept-fuer-adminaccounts-in-der-ad-300360.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
9 Kommentare
Neuester Kommentar
Moin.
Domänenclients müssen eigene Adminkonten haben, eines pro Rechner, und nicht mit den Domänenadmins gewartet werden - das ist wirklich wichtig.
Schau Dir mal meinen Beitrag an: Sicherer Umgang mit Supportkonten
Für Tipps zum AD musst Du zunächst mal die Problemstellung klarer machen - was befürchtest Du, wogegen möchtest Du schützen?
Domänenclients müssen eigene Adminkonten haben, eines pro Rechner, und nicht mit den Domänenadmins gewartet werden - das ist wirklich wichtig.
Schau Dir mal meinen Beitrag an: Sicherer Umgang mit Supportkonten
Für Tipps zum AD musst Du zunächst mal die Problemstellung klarer machen - was befürchtest Du, wogegen möchtest Du schützen?
Hi,
wie groß ist denn die Organisation und wieviele IT-Mitarbeiter hat diese und welche Aufgaben haben diese?
Bei uns sind DIE Administratoren-Konten der Domänen mit langen, kryptischen Passwörtern versehen, welche keiner kennt. (liegen im Safe der GF)
Jeder IT-Mitarbeiter hat zwei Konten: Eins für die normale Arbeit ohne Admin-Rechte und eins für die Administration mit den notwendigen Adminrechten (ADM-Kontren). Für die Zuteilung der Adminrechte haben wir Rollen-Gruppen (ADM-Rollen) erstellt. Diesen Gruppen wurden die entsprechenden Berechtigungebn erteilt. Die ADM-Konten sind Mitglieder in den betreffenden ADM-Rollen.
Die ADM-Rollen bekommen ihre Rechte über alle möglichen, dafür vorgesehenen Mechanismen:
- Active Directory --> Verwaltungsdelegierung
(- zwei ADM-Konten sind direkt Mitglied der Organisations-Admins)
- Rechte am Member --> "eingeschränkte Gruppen" und/oder direkt erteilte Privilegien (per GPO)
- Fileserver --> NTFS-Rechte auf freigebene Ordner
usw. usw.
E.
wie groß ist denn die Organisation und wieviele IT-Mitarbeiter hat diese und welche Aufgaben haben diese?
Bei uns sind DIE Administratoren-Konten der Domänen mit langen, kryptischen Passwörtern versehen, welche keiner kennt. (liegen im Safe der GF)
Jeder IT-Mitarbeiter hat zwei Konten: Eins für die normale Arbeit ohne Admin-Rechte und eins für die Administration mit den notwendigen Adminrechten (ADM-Kontren). Für die Zuteilung der Adminrechte haben wir Rollen-Gruppen (ADM-Rollen) erstellt. Diesen Gruppen wurden die entsprechenden Berechtigungebn erteilt. Die ADM-Konten sind Mitglieder in den betreffenden ADM-Rollen.
Die ADM-Rollen bekommen ihre Rechte über alle möglichen, dafür vorgesehenen Mechanismen:
- Active Directory --> Verwaltungsdelegierung
(- zwei ADM-Konten sind direkt Mitglied der Organisations-Admins)
- Rechte am Member --> "eingeschränkte Gruppen" und/oder direkt erteilte Privilegien (per GPO)
- Fileserver --> NTFS-Rechte auf freigebene Ordner
usw. usw.
E.
@winlin
Ich vermute, was DWW meint: Gemeinhin wird mit "Domain-Admin" jener verstanden, der alles in der Domäne darf. Defacto muss man aber unterscheiden zwischen Admin in der Domäne und Admin auf den Domänenmitgliedern (Workstations und Server). Und als DIE Domain-Admin sind eher jene zu verstehen, welche auf den Domänenmitgliedern Admins sind. Admin in der Domäne sind die BuiltIn Administrators. Je nachdem, wie da bei Euch das Konzept aussieht, kann das schon einen sehr großen Unterschied machen.
Zum Domain-Admin äquivalente Rechte in der Domäne per Verwaltungsdelegierung zu erteilen, ist zwar technisch möglich, aber m.E. ziemlich sinnfrei.
Du kannst aber sehr wohl punktgenau Rechte vergeben. Z.B. dass jemand nur bestimmte Konten und Gruppen verwalten kann, oder bestimmte Objekte nur in bestimmten OU's erstellen kann. usw.
Möglichweise reichen aber auch die Standardgruppen dafür schon aus. Es gibt Server-Operatoren, Backup-Operatoren, Konten-Admin usw. Schau sie Dir doch mal an. Hinweis dazu: Diese Gruppen im Container "BuiltIn" sind nur für Domaincontroller gültig. Die Doku von MS ist da mitunter etwas missverständlich. Die analog auf den Nicht-DCs exisitierenden Gruppen musst Du ggf. manuell oder per GPO "eingeschränkte Gruppen" füllen.
"GPO erstellen" und "GPO verlinken" sind zwei verschiedene Rechte und können nicht auf einen Punkt konzentriert werden. Man kann also nicht sagen, jemand kann nur an einer OU GPO erstellen und verlinken. "GPO erstellen" ist ein Recht in der Domäne allgemein. Eine vorhandene "GPO verlinken" ist ein Recht für einen Container. Wenn Du einen Benutzer einsetzen willst, der zwar GPO erstellen, diese aber nicht verlinken darf, dann musst Du die Standardberechtigungen für neue GPO-Objekte in der Domnäne ändern. (How to change the default permissions on GPOs) Wenn Du einem ermächtigen möchtest, GPO's zu verlinken, diese aber nicht erstellen und bearbeiten zu dürfen, dann musst Du das über die Verwaltungsdelegierung machen.
Ich vermute, was DWW meint: Gemeinhin wird mit "Domain-Admin" jener verstanden, der alles in der Domäne darf. Defacto muss man aber unterscheiden zwischen Admin in der Domäne und Admin auf den Domänenmitgliedern (Workstations und Server). Und als DIE Domain-Admin sind eher jene zu verstehen, welche auf den Domänenmitgliedern Admins sind. Admin in der Domäne sind die BuiltIn Administrators. Je nachdem, wie da bei Euch das Konzept aussieht, kann das schon einen sehr großen Unterschied machen.
Zum Domain-Admin äquivalente Rechte in der Domäne per Verwaltungsdelegierung zu erteilen, ist zwar technisch möglich, aber m.E. ziemlich sinnfrei.
Du kannst aber sehr wohl punktgenau Rechte vergeben. Z.B. dass jemand nur bestimmte Konten und Gruppen verwalten kann, oder bestimmte Objekte nur in bestimmten OU's erstellen kann. usw.
Möglichweise reichen aber auch die Standardgruppen dafür schon aus. Es gibt Server-Operatoren, Backup-Operatoren, Konten-Admin usw. Schau sie Dir doch mal an. Hinweis dazu: Diese Gruppen im Container "BuiltIn" sind nur für Domaincontroller gültig. Die Doku von MS ist da mitunter etwas missverständlich. Die analog auf den Nicht-DCs exisitierenden Gruppen musst Du ggf. manuell oder per GPO "eingeschränkte Gruppen" füllen.
"GPO erstellen" und "GPO verlinken" sind zwei verschiedene Rechte und können nicht auf einen Punkt konzentriert werden. Man kann also nicht sagen, jemand kann nur an einer OU GPO erstellen und verlinken. "GPO erstellen" ist ein Recht in der Domäne allgemein. Eine vorhandene "GPO verlinken" ist ein Recht für einen Container. Wenn Du einen Benutzer einsetzen willst, der zwar GPO erstellen, diese aber nicht verlinken darf, dann musst Du die Standardberechtigungen für neue GPO-Objekte in der Domnäne ändern. (How to change the default permissions on GPOs) Wenn Du einem ermächtigen möchtest, GPO's zu verlinken, diese aber nicht erstellen und bearbeiten zu dürfen, dann musst Du das über die Verwaltungsdelegierung machen.
wir müssen unser AD nach bestimmten Richtlinien härten, welche sich an das Dokument von MS anlehnen "Securing Active Directory".
Das Dokument kenne ich und der zu deinen angedeuteten Absichten passende Bereich ist eine Seite lang. Der zutreffendste Satz ist wohl "Privileged accounts (and accounts added to privileged groups) can perform specific tasks, but only those that are relevant to their duties." Und dazu suchst Du nun Rat, um ein Konzept zu erstellen. Dazu frage ich mehrfach "was befürchtest Du, wogegen möchtest Du schützen" aber Du gibst weder Befürchtungen an, noch wogegen Du schützen möchtest, sondern verkriechst Dich hinter dem Dokument.Würdest Du aus der Deckung kommen und schreiben "ich befürchte, dass derzeit..." oder "ich möchte gegen x schützen", dann könnte ich Dir Tipps zum Konzept geben.
Versteh mich nicht falsch, ich sehe, dass Du ganz konkret dabei bist, Rollen zu separieren - das kann ja auch gute Effekte haben. Es kann aber auch sinnlos sein, je nachdem wie Eure Lage nun aussieht, wer was administrieren soll, wie Eure Practices sind und wie sie auch kontrolliert werden.
Wenn ich einen guten Tipp aus der Hüfte schießen sollte, dann den bereits gegebenen. Lasst die Nutzerrechner nicht mit Domänenadminkonten in Berührung kommen. Das ist das größte Problem, was immer wieder Einbrüche begünstigt und z.B. auch zur Kaperung des Bundestagsnetzes geführt hat. Und glaub mal, die hatten sich auch ein Konzept gemacht, wie sie administrative Aufgaben aufteilen.
Aber zurück zu Euren Admins. Geh bitte auf die Fragen ein in Bezug auf Eure administrativen Tätigkeiten und Workflows und Eure Rollenverteilung. Dann könnte Dir auch geholfen werden.