8
Windows Tiers (Ebenenmodell) Zugriff Auf Tier 0
Hallo Zusammen,
mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.
Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )
Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.
Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?
Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.
Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?
Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.
mich beschäftigt das Thema Sicherheit in unserem Unternehmen. Ich bin in die Rolle eines Sysadmins/Domainadmins gerutscht und hinterfrage die bisher angewendeten verfahren. In der durch mich beschafften Literatur/ Internet finde ich keine Antwort auf meine Detailfragen.
Ich habe versucht das Ebenenmodell möglichst simpel einzuführen (kein Exchange vorhanden).
Tier 0 =DCs
Tier 1= Server
Tier 2 = Clients
haben alle jeweils Adminrechte auf Maschinen des eigenen Tiers und keine Anmelderechte auf den anderen Tiers. Sie sind weiterhin Mitglieder der Gruppe der Domänenbenutzer.
(Anmelden als Batchauftrag verweigern, anmelden als dienst verweigern, anmelden ünber terminaldienste verweigern, lokal anmelden verweigern, zugriff vom netzwerk auf diesen computer verweigern. )
Jetzt habe ich bemerkt, dass mein Tier 1 Admin keine Benutzer-GPOS zieht. Ich vermute weil die Netzwerkanmeldung auf dem DC verboten wurde und somit kein Zugrif auf Sysvol möglich ist.
Meinem Tier 2 Admin habe ich das Recht zur Netzwerkanmeldung am DC gegeben, dort ist das Aktualisieren der GPOs kein Problem.
Jetzt stellt sich mir die Frage was ich tun sollte. Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Andererseits vermute ich, dass wenn ich dem ClientAdmin das recht zur Netzwerkanmeldung entziehe, nicht nur keine BenutzerGPOs greifen, sonern dass er auch keine Geräte mehr in die Domäne einbringen kann (gewöhnlichen Benutzern habe ich das Recht bereits entzogen)?
Und zum Versändniss:
Wenn ich auf den Tier 0-1 eine GPO Verknüpfe, die der Gruppe der Domänenbenutzer ebenfalls die Anmeldeoptionen enzieht, hätte das doch den Effekt, das weder Freigaben vom DFS, noch GPOs von DCs verfügbar sind. Und das Obwohl ein Benutzer mit der Anmeldung zu den Authentifizierten Benutzern gehört.
Liege ich da richtig? Bzw. was wäre das korrekte Vorgehen. Sollte für Nichtadmins die GPO "zugriff vom netzwerk auf diesen computer verweigern" deaktiviert werden?
Könnt ihr gute Literatur oder eine Fortbildung zu dem Thema empfehlen? Diese darf gerne trocken und ausführlich sein.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671904
Url: https://administrator.de/forum/windows-tiers-ebenenmodell-zugriff-auf-tier-0-671904.html
Ausgedruckt am: 17.03.2025 um 22:03 Uhr
8 Kommentare
Neuester Kommentar
Moin.
Die Netzwerkanmeldung zu gestatten fühlt sich irgendwie falsch an.
Du hast keine Anmeldung verboten. Du hast das Nutzerrecht "Auf diesen Computer vom Netzwerk aus zugreifen" lediglich verbogen und nicht mehr allen gegeben. Warum Du meinst, das tun zu müssen, ist mir schleierhaft, denn Du brauchst (wie Du schon feststellst) dieses Recht allein schon für den Bezug von GPOs.
2
na ja in jedem Tutorial zum Thema Microsoft Unternehmenszugriffsmodell das ich gesichtet habe, war beschrieben, dass den Administratorkonten die folgenden Rechte entzogen werden sollten, für die jeweils anderen Ebenen.
Mal 1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe. Server 22 Tier-Berechtigungskonzept
Natürlich wird nirgends beschrieben, welche Auswirkungen die Deaktivierungen haben außer "Sichercheitszugewinn". Auch Microsoft schreibt, dass der Zugriff ein potentielles Sicherheitsrisiko darestellt und die std. lokalen Administratoren keinen Zugriff erhalten sollten.
Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden.
Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
- Anmelden als Batchauftrag verweigern
- Anmelden als dienst verweigern
- Anmelden über terminaldienste verweigern
- Lokal anmelden verweigern
- Zugriff vom netzwerk auf diesen computer verweigern
Mal 1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe. Server 22 Tier-Berechtigungskonzept
Natürlich wird nirgends beschrieben, welche Auswirkungen die Deaktivierungen haben außer "Sichercheitszugewinn". Auch Microsoft schreibt, dass der Zugriff ein potentielles Sicherheitsrisiko darestellt und die std. lokalen Administratoren keinen Zugriff erhalten sollten.
Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden.
Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
1 Link als Beispiel dafür, dass ich mir das nicht aus der Nase gezogen habe
Ihh. Ja, schon klar, fordern kann man viel, aber die Folgen siehst Du. Wenn das den Autoren nicht klar ist, dann liegt das vielleicht daran, dass sie für diese Admins gar keine GPOs nutzen und deshalb keine vermissen.Jetzt frage ich mich halt, inwieweit es sinvoll ist für die Ebenen-Admins die Einstellung "Zugriff vom netzwerk auf diesen computer verweigern" auf die DCs anzuwenden. Hat nicht ohnehin jeder Domänenbenutzer das Recht über das Netzwerk auf die DCs zuzugreifen?
Ja, die offenen Ports zu den DCs sind bekannt und dokumentiert: Kerberos, DNS und SMB allen voran. SMB sind die Freigaben wie sysvol, natürlich ist das für jeden per Default offen.
Noch was für Dich, das zeigt, das dieses "Zugriff auf diesen Computer verweigern" sehr untypisch ist: https://blog.ittelligence.com/2017/04/14/active-directory-simple-tier-is ...
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
Der Autor hat diesesn Artikel schon sehr lange drin und nie kam ein Wiederwort zum Konzept, weder auf seiner eigenen Website, noch auf experts-exchange.com, wo er es auch abgelegt hat:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ... (>7000 Views und 12 Thumbs up ist bei ee schon sehr viel!)
1
Herzichen Dank für die Antworten 
Kannst du mir vielleicht noch gute Literatur zum Thema DC, AD, Sicherheit etc. empfehlen?
Darf gerne trocken sein, desto ausführlicher desto besser
Kannst du mir vielleicht noch gute Literatur zum Thema DC, AD, Sicherheit etc. empfehlen?
Darf gerne trocken sein, desto ausführlicher desto besser
Da habe ich ohne konkreten Bezug nicht viel zu bieten. https://www.der-windows-papst.de/ hat einiges Gutes zu lesen.
Du bist da so reingerutscht? Nett ...
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!
Ich lege dir schwerstens ans Herz solche "Sicherheitsänderungen" NUR zu tätigen, wenn du weisst was genau das bewirkt. Und in deinem Fall ohne fundierte kenntnisse vielleicht sogar mit vorherigem Backup ;) .... Damit kann man sich auch ziemlich leicht die komplette Domäne zerschießen weil man eben auch Rechte entziehen kann die wichtig fürs korrekte Arbeiten der Domäne sind. Warum kann man das? Weil es in manchen konfigurationen Sinn macht, wo dann aber auch diverse andere Rahmenbedingungen stimmen!
