Anhang F: Schützen von Domänenadministratorgruppen in Active Directory
Anhang F: Schützen von Domänenadministratorgruppen in Active Directory
Wie bei der Gruppe „Organisations-Admins“ sollte die Mitgliedschaft in der Gruppe „Domänen-Admins“ nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. In der Gruppe „Domänen-Admins“ sollten keine täglich genutzten Benutzerkonten enthalten sein, mit Ausnahme des integrierten Administratorkontos für die Domäne, wenn es wie in Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben abgesichert wurde.
Domänenadministratoren sind standardmäßig Mitglieder der lokalen Administratorengruppen auf allen Mitgliedsservern und Arbeitsstationen in ihren jeweiligen Domänen. Diese Standardschachtelung sollte aus Gründen der Unterstützungsfähigkeit und der Notfallwiederherstellung nicht geändert werden. Wenn Domänenadministratoren aus den lokalen Administratorengruppen auf den Mitgliedsservern entfernt wurden, sollte die Gruppe auf jedem Mitgliedsserver und jeder Arbeitsstation in der Domäne zur Administratorengruppe hinzugefügt werden. Die Gruppe der Domänenadministratoren jeder Domäne sollte wie in der folgenden Schrittanleitung beschrieben geschützt werden.
Gehen Sie für die Gruppe der Domänenadministratoren in jeder Domäne der Gesamtstruktur wie folgt vor:
Entfernen Sie alle Mitglieder aus der Gruppe, ggf. mit Ausnahme des integrierten Administratorkontos für die Domäne, sofern es wie in Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben abgesichert wurde.
In Gruppenrichtlinienobjekten (GPOs), die mit Organisationseinheiten (OEs) verknüpft sind, die Mitgliedsserver und Arbeitsstationen in jeder Domäne enthalten, sollte die Gruppe der Domänenadministratoren den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechtezuweisung hinzugefügt werden:
Zugriff vom Netzwerk auf diesen Computer verweigern
Anmelden als Batchauftrag verweigern
Anmelden als Dienst verweigern
Lokal anmelden verweigern
Anmelden über Remotedesktopdienste verweigern
Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an Eigenschaften oder Mitgliedschaften der Gruppe „Domänen-Admins“ vorgenommen werden.
Schrittanleitung zum Entfernen aller Mitglieder aus der Gruppe „Domänen-Admins“
Klicken Sie unter Server-Manager auf Tools und anschließend auf Active Directory-Benutzer und -Computer.
Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe „Domänen-Admins“ zu entfernen:
Doppelklicken Sie auf die Gruppe Domänen-Admins, und klicken Sie auf die Registerkarte Mitglieder.
Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf Entfernen, dann auf Ja und anschließend auf OK.
Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe „Domänen-Admins“ entfernt wurden.
Schrittanleitung zum Schützen von Domänenadministratoren in Active Directory
Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.
Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.
Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <GPO-Namen> ein, und klicken Sie anschließend auf OK (wobei der <GPO-Name> der Name dieses Gruppenrichtlinienobjekts ist).
Klicken Sie im Detailbereich mit der rechten Maustaste auf <GPO-Name> und dann auf Bearbeiten.
Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.
Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:
Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.
Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.
Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.
Klicken Sie auf OK und dann erneut auf OK.
Konfigurieren Sie die Benutzerrechte so, dass Mitgliedern der Gruppe „Domänen-Admins“ die Anmeldung als Batchauftrag verweigert wird:
Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.
Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.
Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.
Klicken Sie auf OK und dann erneut auf OK.
Konfigurieren Sie die Benutzerrechte so, dass Mitgliedern der Gruppe „Domänen-Admins“ die Anmeldung als Dienst verweigert wird:
Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.
Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.
Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.
Klicken Sie auf OK und dann erneut auf OK.
Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ sich nicht lokal bei Mitgliedsservern und Arbeitsstationen anmelden können:
Doppelklicken Sie auf Lokal anmelden verweigern, und wählen Sie dann Diese Richtlinieneinstellungen definieren aus.
Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.
Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.
Klicken Sie auf OK und dann erneut auf OK.
Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen können:
Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.
Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.
Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.
Klicken Sie auf OK und dann erneut auf OK.
Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.
Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:
Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.
Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt und dann OK aus.
Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.
Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.
Wichtig
Bei der Verwendung von Sprungbrettservern zum Verwalten von Domänencontrollern und Active Directory müssen Sie sicherstellen, dass sich die Sprungbrettserver in einer Organisationseinheit befinden, mit der diese GPOs nicht verknüpft sind.
Überprüfungsschritte
Überprüfen der GPO-Einstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“
Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.
Melden Sie sich lokal mit einem Konto an, das Mitglied der Gruppe „Domänen-Admins“ ist.
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.
Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.
Geben Sie im Eingabeaufforderungsfenster den Befehl net use \\<Servername>\c$, wobei <Servername> für den Namen des Mitgliedsservers oder der Arbeitsstation steht, auf den bzw. auf die Sie über das Netzwerk zugreifen möchten.
Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.
Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“
Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.
Erstellen einer Batchdatei
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.
Geben Sie im Editordir c: ein.
Klicken Sie auf Datei und dann auf Speichern unter.
Geben Sie im Feld Dateiname den Namen <Dateiname>.bat ein (wobei <Dateiname> für den Namen der neuen Batchdatei steht).
Planen einer Aufgabe
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.
Hinweis
Auf Computern mit Windows 8 geben Sie im Feld Suchen den Begriff Aufgaben planen ein und klicken auf Aufgaben planen.
Klicken Sie in der Menüleiste der Aufgabenplanung auf Aktion und dann auf Aufgabe erstellen.
Geben Sie im Dialogfeld Aufgabe erstellen einen Wert für <Aufgabenname > ein (hierbei steht <Aufgabenname > für den Namen der neuen Aufgabe).
Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.
Wählen Sie im Feld Aktion die Option Programm starten aus.
Klicken Sie unter Programm/Skript auf Durchsuchen, wählen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei aus, und klicken Sie auf Öffnen.
Klicken Sie auf OK.
Klicken Sie auf die Registerkarte Allgemein.
Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern.
Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Domänen-Admins“ ist, klicken Sie auf Namen überprüfen und dann auf OK.
Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und dann Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.
Klicken Sie auf OK.
Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.
Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.
Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.
Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“
Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.
Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.
Klicken Sie auf die Registerkarte Anmelden.
Wählen Sie unter Anmelden als die Option Dieses Konto aus.
Klicken Sie auf Durchsuchen, geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Domänen-Admins“ ist, klicken Sie auf Namen überprüfen und dann auf OK.
Geben Sie unter Kennwort und Kennwort bestätigen das Kennwort für das ausgewählte Konto ein, und klicken Sie auf OK.
Klicken Sie noch dreimal auf OK.
Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.
Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.
Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“
Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.
Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.
Klicken Sie auf die Registerkarte Anmelden.
Wählen Sie unter Anmelden als das Konto Lokales System aus, und klicken Sie auf OK.
Überprüfen der GPO-Einstellung „Lokal anmelden verweigern“
Versuchen Sie, sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation anzumelden, die von den GPO-Änderungen betroffen sind. Verwenden Sie dazu ein Konto, das Mitglied der Gruppe „Domänen-Admins“ ist. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.
Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“
Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.
Geben Sie im Feld Suchen den Begriff Remotedesktopverbindung ein, und klicken Sie auf Remotedesktopverbindung.
Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)
Geben Sie bei Aufforderung die Anmeldeinformationen für ein Konto ein, das Mitglied der Gruppe „Domänen-Admins“ ist.
Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.
