Active Directory.pdf - Gattner

Entwerfen sicherer administrativer Vorgehensweisen 313
• Implementieren Sie einen Änderungskontrollprozess. Alle an einer AD DS-Umgebung vorgenommenen
Änderungen sollten einem Änderungskontrollprozess unterliegen. Dies ist besonders für
Änderungen relevant, die sich auf die gesamte Verzeichnisdienstumgebung auswirken. Beispielsweise
sollten Schemaänderungen nur nach sorgfältiger Planung und Testläufen und mit Genehmigung
des Gesamtstrukturbesitzers implementiert werden.
• Begrenzen Sie die Gruppe Schema-Admins auf temporäre Mitglieder. Die meisten Unternehmen
ändern das Schema sehr selten, daher muss sich niemand regelmäßig als Schemaadministrator
anmelden. Um den Schemaänderungsvorgang zu sichern, lassen Sie die Mitgliedschaft in der
Gruppe Schema-Admins leer. Fügen Sie der Gruppe nur dann einen vertrauenswürdigen Benutzer
hinzu, wenn eine administrative Aufgabe am Schema durchgeführt werden muss. Entfernen Sie
den Benutzer, sobald die Aufgabe abgeschlossen ist.
• Verwenden Sie eine Richtlinie für eingeschränkte Gruppen, um die Mitgliedschaft für die wichtigen
Domänen- und Gesamtstrukturkonten zu beschränken. Beim Implementieren einer Richtlinie
für eingeschränkte Gruppen wird die Gruppenmitgliedschaft von den Domänencontrollern
überwacht, und nicht in der Richtlinie für eingeschränkte Gruppen enthaltene Benutzer werden
automatisch entfernt.
• Stellen Sie sicher, dass Administratoren zwei verschiedene Konten besitzen und verwenden.
Erstellen Sie für Benutzer, die eine administrative Funktion erfüllen, zwei Konten: ein normales
Benutzerkonto für normale, alltägliche Aufgaben und ein Administratorkonto, das nur zur Durchführung
administrativer Aufgaben verwendet wird. Das Administratorkonto sollte nicht E-Mailfähig
sein oder zur Ausführung täglich genutzter Anwendungen, wie beispielsweise Microsoft
Office, oder für das Surfen im Internet verwendet werden.
• Wenden Sie den Prinzipal mit den wenigsten Berechtigungen für alle Administratorengruppen an.
Definieren Sie die Berechtigungen, die für die einzelnen Administratorengruppen tatsächlich
erforderlich sind, mit Sorgfalt, und weisen Sie anschließend nur diese Berechtigungen zu. Wenn
ein Administrator beispielsweise nur bestimmte Benutzerkonten oder Computerkonten oder auch
nur einige Einstellungen für diese Konten verwalten muss, erstellen Sie eine OU für diese Konten,
und delegieren Sie anschließend Berechtigungen an das Administratorkonto. Vermeiden Sie
außerdem die Verwendung der Gruppe Konten-Operatoren, um die Berechtigung zum Konfigurieren
von Benutzer- und Gruppenkonten zuzuweisen. Die Standardverzeichnisberechtigungen erteilen
dieser Gruppe die Möglichkeit, die Computerkonten von Domänencontrollern zu ändern. Dies
schließt auch den Löschvorgang mit ein. Standardmäßig enthält die Gruppe Konten-Operatoren
keine Mitglieder, und dies sollte so bleiben.
• Verbergen Sie das Domänenadministratorkonto. Jede AD DS-Installation verfügt über ein Konto
namens Administrator in jeder Domäne. Dies ist das Standardadministratorkonto, das während der
Domäneneinrichtung erstellt wird und das Sie für den Zugriff und die Verwaltung des Verzeichnisdienstes
nutzen können. Es handelt sich um ein besonderes Konto, das vom System geschützt
wird, um sicherzustellen, dass es bei Bedarf vorhanden ist. Dieses Konto kann nicht deaktiviert
oder gesperrt werden. Sie sollten ihm einen anderen Namen als Administrator geben. Wenn Sie
das Konto umbenennen, stellen Sie sicher, dass Sie auch den Beschreibungstext für das Konto
ändern. Zusätzlich sollten Sie ein Lockvogel-Benutzerkonto namens Administrator erstellen, das
keinerlei besondere Berechtigungen oder Benutzerrechte besitzt, und die Ereignis-IDs 528, 529
und 534 in Verbindung mit dem umbenannten und dem Lockvogelkonto überwachen.