Freigeben über

Planen einer geschützten Umgebung

Durch das Hinzufügen einer Bastion-Umgebung mit einer dedizierten Verwaltungsstruktur zu einem Active Directory können Organisationen administrative Konten, Arbeitsstationen und Gruppen in einer Umgebung verwalten, die stärkere Sicherheitskontrollen als ihre vorhandene Produktionsumgebung aufweist.

Hinweis

Der PAM-Ansatz mit einer Bastion-Umgebung, die von MIM bereitgestellt wird, soll in einer benutzerdefinierten Architektur für isolierte Umgebungen verwendet werden, in denen der Internetzugriff nicht verfügbar ist, wenn diese Konfiguration durch die Regulierung erforderlich ist, oder in isolierten Umgebungen mit hohem Einfluss wie Offlineforschungslabors und getrennten betriebstechnischen Technologien oder aufsichtsrechtlichen Kontroll- und Datenerfassungsumgebungen. Wenn Ihr Active Directory Teil einer mit dem Internet verbundenen Umgebung ist, finden Sie unter Schützen des privilegierten Zugriffs weitere Informationen dazu, wo Sie beginnen.

Diese Architektur ermöglicht Steuerungen, die in einer einzelnen Forest-Architektur nicht möglich oder leicht konfigurierbar sind. Dies umfasst die Bereitstellung von Konten als Standardbenutzer ohne erweiterte Berechtigungen in der administrativen Gesamtstruktur, die in der Produktionsumgebung über weitgehende Berechtigungen verfügen, wodurch eine umfassende technische Governance-Durchsetzung ermöglicht wird. Zudem ermöglicht diese Architektur die Verwendung der ausgewählten Authentifizierung von Vertrauensstellungen zum Einschränken von Anmeldungen (und Offenlegen der Anmeldeinformationen) auf autorisierte Hosts. In Situationen, in denen ein höheres Maß an Sicherheit für den Produktionswald gewünscht wird, ohne dass die Kosten und die Komplexität eines vollständigen Wiederaufbaus entstehen, kann ein Verwaltungswald eine Umgebung bereitstellen, die das Sicherheitsniveau der Produktionsumgebung erhöht.

Zusätzlich zum dedizierten Verwaltungswald können zusätzliche Techniken verwendet werden. Dazu gehören das Einschränken, wo administrative Anmeldeinformationen verfügbar gemacht werden, die Rollenberechtigungen von Benutzern in dieser Gesamtstruktur einzuschränken und sicherzustellen, dass administrative Aufgaben nicht auf Hosts ausgeführt werden, die für Standardbenutzeraktivitäten (z. B. E-Mail und Webbrowsen) verwendet werden.

Überlegungen zu bewährten Methoden

Eine dedizierte administrative Gesamtstruktur ist eine standardmäßige Active Directory-Gesamtstruktur mit einer einzelnen Domäne, die für die Active Directory-Verwaltung verwendet wird. Ein Vorteil bei der Verwendung administrativer Gesamtstrukturen und Domänen besteht darin, dass sie aufgrund ihrer begrenzten Anwendungsfälle mehr Sicherheitsmaßnahmen als Produktionsstrukturen haben können. Da diese Gesamtstruktur ferner isoliert ist und den bestehenden Gesamtstrukturen der Organisation nicht vertraut, würde sich ein Sicherheitskompromiss in einer anderen Gesamtstruktur nicht auf diese dedizierte Gesamtstruktur auswirken.

Ein Verwaltungsforstentwurf berücksichtigt die folgenden Aspekte:

Eingeschränkter Gültigkeitsbereich

Der Wert einer administrativen Gesamtstruktur liegt in der hohen Sicherheitsgarantie und der reduzierten Angriffsfläche. Der Wald kann zusätzliche Verwaltungsfunktionen und -anwendungen enthalten, aber jede Erhöhung des Umfangs erhöht die Angriffsfläche des Waldes und seiner Ressourcen. Ziel ist es, die Funktionen des Forest zu begrenzen, um die Angriffsfläche minimal zu halten.

Gemäß dem Ebenenmodell der Partitionierung administrativer Berechtigungen sollten sich die Konten in einer dedizierten administrativen Gesamtstruktur in einer einzelnen Ebene befinden, in der Regel entweder Ebene 0 oder Ebene 1. Wenn sich ein Wald in Stufe 1 befindet, sollten Sie ihn auf einen bestimmten Anwendungsbereich (z. B. Finanz-Apps) oder eine Benutzergruppe (z. B. ausgelagerte IT-Anbieter) einschränken.

Eingeschränkte Vertrauensstellung

Die CORP-Gesamtstruktur der Produktion sollte der administrativen PRIV-Gesamtstruktur vertrauen, aber nicht umgekehrt. Diese Vertrauensstellung kann eine Domänen- oder Gesamtstruktur-Vertrauensstellung sein. Die administrative Gesamtstruktur muss den verwalteten Domänen und Gesamtstrukturen nicht vertrauen, um Active Directory verwalten zu können. Zusätzliche Anwendungen können jedoch eine bidirektionale Vertrauensstellung, Sicherheitsüberprüfungen und Tests erfordern.

Die selektive Authentifizierung sollte verwendet werden, um sicherzustellen, dass Konten in der Administratorstruktur nur die entsprechenden Produktionshosts verwenden. Zur Verwaltung von Domänencontrollern und Delegierung von Rechten in Active Directory ist hierbei in der Regel die Berechtigung für die Anmeldung auf Domänencontrollern für die jeweiligen Administratorkonten der Ebene 0 in der administrativen Gesamtstruktur erforderlich. Weitere Informationen finden Sie unter Konfigurieren von einstellungen für die selektive Authentifizierung .

Logische Trennung beibehalten

Um sicherzustellen, dass die Bastion-Umgebung nicht durch vorhandene oder zukünftige Sicherheitsvorfälle in der Organisation Active Directory beeinträchtigt wird, sollten die folgenden Richtlinien beim Vorbereiten von Systemen für die Bastion-Umgebung verwendet werden:

  • Windows-Server sollten nicht in Domänen der vorhandenen Umgebung eingebunden werden oder Software oder verteilte Einstellungen von dieser nutzen.

  • Die Bastion-Umgebung muss eigene Active Directory Domain Services enthalten, die Kerberos-, LDAP-, DNS-, Zeit- und Zeitsynchronisierungsdienste für die Bastion-Umgebung bereitstellen.

  • MIM sollte keine SQL-Datenbankfarm in der vorhandenen Umgebung verwenden. SQL Server sollte auf dedizierten Servern in der Bastion-Umgebung bereitgestellt werden.

  • Für die Bastion-Umgebung ist Microsoft Identity Manager 2016 erforderlich, insbesondere die MIM-Dienst- und PAM-Komponenten müssen bereitgestellt werden.

  • Sicherungssoftware und Medien für die geschützte Umgebung müssen getrennt von denen für Systeme in den bestehenden Gesamtstrukturen gehalten werden, damit Administratoren in der bestehenden Gesamtstruktur nicht in der Lage sind, eine Sicherung der geschützten Umgebung zu manipulieren.

  • Benutzer, die die Bastion-Umgebungsserver verwalten, müssen sich von Arbeitsstationen anmelden, auf die administratoren in der vorhandenen Umgebung nicht zugreifen können, damit die Anmeldeinformationen für die Bastion-Umgebung nicht verloren gehen.

Sicherstellen der Verfügbarkeit von Verwaltungsdiensten

Da die Verwaltung von Anwendungen in die Bastion-Umgebung umgestellt wird, berücksichtigen Sie, wie ausreichende Verfügbarkeit bereitgestellt wird, um die Anforderungen dieser Anwendungen zu erfüllen. Die Methoden umfassen Folgendes:

  • Stellen Sie Active Directory Domain Services auf mehreren Computern in der Bastion-Umgebung bereit. Mindestens zwei sind erforderlich, um eine fortgesetzte Authentifizierung sicherzustellen, auch wenn ein Server vorübergehend für die geplante Wartung neu gestartet wird. Für eine höhere Auslastung oder für die Verwaltung von Ressourcen und Administratoren, die in mehreren geografischen Regionen basieren, sind möglicherweise zusätzliche Computer erforderlich.

  • Vorbereiten von Notfallkonten in der vorhandenen Gesamtstruktur und der dedizierten administrativen Gesamtstruktur für Notfälle.

  • Stellen Sie SQL Server und MIM-Dienst auf mehreren Computern in der Bastionumgebung bereit.

  • Behalten Sie eine Sicherungskopie von AD und SQL für jede Änderung an Benutzern oder Rollendefinitionen im dedizierten Administratorwald.

Konfigurieren der entsprechenden Active Directory-Berechtigungen

Die administrative Gesamtstruktur sollte anhand der geringsten erforderlichen Rechte für die Active Directory-Verwaltung konfiguriert werden.

  • Konten in der administrativen Gesamtstruktur, die für die Verwaltung der Produktionsumgebung verwendet werden, sollten keine Administratorberechtigungen für die administrative Gesamtstruktur oder die enthaltenen Domänen oder Arbeitsstationen erhalten.

  • Administratorrechte für die administrative Gesamtstruktur selbst sollten über ein Offlineverfahren streng kontrolliert werden, um das Löschen von Überwachungsprotokollen durch Angreifer oder böswillige Mitarbeiter zu erschweren. Dadurch wird auch sichergestellt, dass Mitarbeiter mit Produktions-Admin-Konten die Einschränkungen für ihre Konten nicht lockern und das Risiko für die Organisation nicht erhöhen können.

  • Die administrative Gesamtstruktur sollte den Microsoft Security Compliance Manager (SCM)-Konfigurationen für die Domäne entsprechen, einschließlich starker Konfigurationen für Authentifizierungsprotokolle.

Identifizieren und erstellen Sie beim Erstellen der Bastion-Umgebung vor der Installation von Microsoft Identity Manager die Konten, die für die Verwaltung in dieser Umgebung verwendet werden. Dazu gehören:

  • Notfallkonten sollten sich nur in der geschützten Umgebung bei den Domänencontrollern anmelden können.

  • "Red Card"-Administratoren stellen andere Konten bereit und führen ungeplante Wartungen durch. Für diese Konten wird kein Zugriff auf vorhandene Wälder oder Systeme außerhalb der Bastionumgebung bereitgestellt. Die Anmeldeinformationen, z. B. eine Smartcard, sollten physisch gesichert und die Verwendung dieser Konten protokolliert werden.

  • Dienstkonten , die von Microsoft Identity Manager, SQL Server und anderer Software benötigt werden.

Härten von Hosts

Alle Hosts, einschließlich Domänencontroller, Server und Arbeitsstationen, die mit der Administrativen Gesamtstruktur verbunden sind, sollten die neuesten Betriebssysteme und Service Packs installiert und auf dem neuesten Stand gehalten werden.

  • Die für die Durchführung der Verwaltung erforderlichen Anwendungen sollten auf Arbeitsstationen vorinstalliert sein, damit Konten, die diese verwenden, nicht in der lokalen Administratorgruppe sein müssen, um sie zu installieren. Domänencontrollerwartung kann in der Regel mit RDP- und Remoteserver-Verwaltungstools ausgeführt werden.

  • Hosts in der administrativen Gesamtstruktur sollten automatisch mit Sicherheitsupdates aktualisiert werden. Dies kann zwar das Risiko einer Unterbrechung von Domänencontrollerwartungsvorgängen darstellen, bietet jedoch eine erhebliche Minderung des Sicherheitsrisikos durch nicht gepatchte Schwachstellen.

Identifizieren administrativer Hosts

Das Risiko eines Systems oder einer Arbeitsstation sollte durch die höchste Risikoaktivität gemessen werden, die darauf ausgeführt wird, z. B. Internetbrowsen, Senden und Empfangen von E-Mails oder die Verwendung anderer Anwendungen, die unbekannte oder nicht vertrauenswürdige Inhalte verarbeiten.

Administrative Hosts umfassen die folgenden Computer:

  • Ein Desktop, auf dem die Anmeldeinformationen des Administrators physisch eingegeben werden.

  • Administrative "Sprungserver", auf denen Administrative Sitzungen und Tools ausgeführt werden.

  • Alle Hosts, auf denen administrative Aktionen ausgeführt werden, einschließlich derJenigen, die einen Standardbenutzerdesktop verwenden, auf dem ein RDP-Client ausgeführt wird, um Server und Anwendungen remote zu verwalten.

  • Server, die Anwendungen hosten, die verwaltet werden müssen, und auf die nicht über RDP im eingeschränkten Administratormodus oder über Windows PowerShell-Remoting zugegriffen wird.

Bereitstellen dedizierter Verwaltungsarbeitsstationen

Obwohl es unpraktisch ist, können separate gehärtete Arbeitsstationen, die speziell Benutzern mit administrativen Anmeldeinformationen mit hohem Einfluss zugewiesen sind, erforderlich sein. Es ist wichtig, einen Host mit einer Sicherheitsstufe bereitzustellen, die gleich oder größer als die Stufe der Berechtigungen ist, die den Anmeldeinformationen zugewiesen wurden. Erwägen Sie die Einbeziehung der folgenden Maßnahmen zum zusätzlichen Schutz:

  • Überprüfen Sie alle Medien im Build auf Sauberkeit, um gegen Schadsoftware, die in einem Masterimage installiert oder während des Downloads oder der Speicherung in eine Installationsdatei eingefügt wurde, vorzugehen.

  • Sicherheitsbaselines sollten als Startkonfigurationen verwendet werden. Der Microsoft Security Compliance Manager (SCM) kann bei der Konfiguration der Basispläne auf administrativen Hosts helfen.

  • Sicherer Start , um Angreifer oder Schadsoftware abzumildern, die versuchen, nicht signierten Code in den Startvorgang zu laden.

  • Softwareeinschränkung , um sicherzustellen, dass nur autorisierte Administrative Software auf den Verwaltungshosts ausgeführt wird. Kunden können AppLocker für diese Aufgabe mit einer genehmigten Liste autorisierter Anwendungen verwenden, um zu verhindern, dass schadhafte Software und nicht unterstützte Anwendungen ausgeführt werden.

  • Vollständige Volumeverschlüsselung, um das Risiko des physischen Verlusts von Computern zu verringern, wie beispielsweise bei remot genutzten administrativen Laptops.

  • USB-Einschränkungen zum Schutz vor körperlicher Infektion.

  • Netzwerkisolation zum Schutz vor Netzwerkangriffen und versehentlichen Administratoraktionen. Hostfirewalls sollten alle eingehenden Verbindungen außer den explizit erforderlichen Verbindungen blockieren und alle nicht benötigten ausgehenden Internetzugriffe blockieren.

  • Antischadsoftware zum Schutz vor bekannten Bedrohungen und Schadsoftware.

  • Exploit-Abwehrmaßnahmen, um unbekannte Bedrohungen und Exploits abzuwehren, einschließlich des Enhanced Mitigation Experience Toolkit (EMET).

  • Angriffsflächenanalyse zur Verhinderung der Einführung neuer Angriffsvektoren in Windows während der Installation neuer Software. Tools wie attack Surface Analyzer (ASA) helfen bei der Bewertung von Konfigurationseinstellungen auf einem Host und identifizieren Angriffsvektoren, die von Software- oder Konfigurationsänderungen eingeführt wurden.

  • Benutzern auf ihrem lokalen Computer sollten keine Administratorrechte gewährt werden.

  • RestrictedAdmin-Modus für ausgehende RDP-Sitzungen, außer wenn dies für die Rolle erforderlich ist. Weitere Informationen finden Sie unter "Neuerungen in den Remotedesktopdiensten in Windows Server".

Einige dieser Maßnahmen scheinen extrem zu sein, aber die öffentlichen Enthüllungen in den letzten Jahren haben die bedeutenden Fähigkeiten veranschaulicht, die qualifizierte Gegner besitzen, um Ziele zu kompromittieren.

Vorbereiten vorhandener Domänen, die von der Bastion-Umgebung verwaltet werden sollen

MIM verwendet PowerShell-Cmdlets, um eine Vertrauensstellung zwischen den vorhandenen AD-Domänen und der dedizierten administrativen Gesamtstruktur in der geschützten Umgebung herzustellen. Nachdem die Bastion-Umgebung bereitgestellt wurde und bevor Benutzer oder Gruppen in JIT konvertiert werden, werden die New-PAMTrust und New-PAMDomainConfiguration Cmdlets die Domänenvertrauensbeziehungen aktualisieren und die für AD und MIM erforderlichen Artefakte erstellen.

Wenn sich die vorhandene Active Directory-Topologie ändert, können die Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust und Remove-PAMDomainConfiguration Cmdlets verwendet werden, um die Vertrauensstellungen zu aktualisieren.

Vertrauen für jeden Wald aufbauen

Das New-PAMTrust-Cmdlet muss einmal für jede vorhandene Gesamtstruktur ausgeführt werden. Sie wird auf dem MIM-Dienstcomputer in der administrativen Domäne aufgerufen. Die Parameter für diesen Befehl sind der Domänenname der obersten Domäne der vorhandenen Gesamtstruktur und die Anmeldeinformationen eines Administrators dieser Domäne.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Konfigurieren Sie nach dem Einrichten der Vertrauensstellung jede Domäne, um die Verwaltung aus der Bastionumgebung zu aktivieren, wie im nächsten Abschnitt beschrieben.

Aktivieren der Verwaltung jeder Domäne

Es gibt sieben Anforderungen für die Aktivierung der Verwaltung für eine vorhandene Domäne.

1. Eine Sicherheitsgruppe in der lokalen Domäne

Es muss eine Gruppe in der vorhandenen Domäne vorhanden sein, deren Name der NetBIOS-Domänenname gefolgt von drei Dollarzeichen ist, z. B. CONTOSO$$$. Der Gruppenbereich muss domänenlokal sein, und der Gruppentyp muss "Sicherheit" sein. Dies ist erforderlich, damit Gruppen in dem dedizierten administrativen Wald mit demselben Sicherheitsbezeichner wie Gruppen in dieser Domäne erstellt werden. Erstellen Sie diese Gruppe mit dem folgenden PowerShell-Befehl, der von einem Administrator der vorhandenen Domäne ausgeführt und auf einer Arbeitsstation ausgeführt wird, die der vorhandenen Domäne beigetreten ist:

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Erfolgs- und Fehlerüberwachung

Die Einstellungen der Gruppenrichtlinie auf dem Domänencontroller für die Überwachung müssen sowohl die Erfolgs- als auch die Fehlerüberwachung für die Überwachung der Kontoverwaltung und des Verzeichnisdienstzugriffs umfassen. Dies kann mit der Gruppenrichtlinien-Verwaltungskonsole erfolgen, die von einem Administrator der vorhandenen Domäne ausgeführt und auf einer Arbeitsstation ausgeführt wird, die der vorhandenen Domäne beigetreten ist:

  1. Gehen Sie zu Start>Verwaltungstools>Gruppenrichtlinienverwaltung.

  2. Gehen Sie zu Gesamtstruktur: contoso.local>-Domäne>contoso.local>Domäne-Controller>Standard-Domänencontroller-Richtlinie. Eine Informationsmeldung wird angezeigt.

    Standardmäßige Domänencontrollerrichtlinie – Screenshot

  3. Klicken Sie mit der rechten Maustaste auf die Standard-Domänencontrollerrichtlinie , und wählen Sie "Bearbeiten" aus. Ein neues Fenster wird angezeigt.

  4. Navigieren Sie im Fenster Gruppenrichtlinien-Verwaltung unter dem Richtlinienbaum Standard-Domänencontroller zu Computerkonfiguration>Richtlinien>Windows-Einstellungen>Sicherheitseinstellungen>Lokale Richtlinien>Audit-Richtlinie.

    Gruppenrichtlinienverwaltungs-Editor – Screenshot

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Kontoverwaltungsüberwachung und wählen Sie Eigenschaften aus. Aktivieren Sie "Diese Richtlinieneinstellungen definieren", setzen Sie ein Kontrollkästchen bei "Erfolg", setzen Sie ein Kontrollkästchen bei "Fehler", klicken Sie auf "Übernehmen" und "OK".

  6. Klicken Sie im Detailbereich mit der rechten Maustaste auf Überwachung des Verzeichnisdienstzugriffs und wählen Sie Eigenschaften aus. Aktivieren Sie "Diese Richtlinieneinstellungen definieren", setzen Sie ein Kontrollkästchen bei "Erfolg", setzen Sie ein Kontrollkästchen bei "Fehler", klicken Sie auf "Übernehmen" und "OK".

    Einstellungen für Erfolgs- und Fehlerrichtlinien – Screenshot

  7. Schließen Sie das Gruppenrichtlinienverwaltungs-Editor-Fenster und das Gruppenrichtlinienverwaltungsfenster. Wenden Sie dann die Überwachungseinstellungen an, indem Sie ein PowerShell-Fenster starten und Folgendes eingeben:

    gpupdate /force /target:computer

Die Meldung "Das Update der Computerrichtlinien wurde erfolgreich abgeschlossen." sollte nach einigen Minuten angezeigt werden.

3. Verbindungen mit der lokalen Sicherheitsbehörde zulassen

Die Domänencontroller müssen RPC über TCP/IP-Verbindungen für lokale Sicherheitsautorität (Local Security Authority, LSA) aus der geschützten Umgebung zulassen. In älteren Versionen von Windows Server muss die TCP/IP-Unterstützung in LSA in der Registrierung aktiviert sein:

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Erstellen der PAM-Domänenkonfiguration

Das New-PAMDomainConfiguration Cmdlet muss auf dem MIM-Dienstcomputer in der administrativen Domäne ausgeführt werden. Die Parameter für diesen Befehl sind der Domänenname der vorhandenen Domäne und anmeldeinformationen eines Administrators dieser Domäne.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Erteilen von Leseberechtigungen für Konten

Die Konten im Bastion-Wald für die Einrichtung von Rollen (Administratoren, die die New-PAMUser und New-PAMGroup Cmdlets verwenden) sowie das vom MIM-Monitordienst verwendete Konto benötigen Leseberechtigungen in dieser Domäne.

Die folgenden Schritte aktivieren den Lesezugriff für den Benutzer PRIV\Administrator auf die Domäne Contoso innerhalb des CORPDC-Domänencontrollers :

  1. Stellen Sie sicher, dass Sie bei CORPDC als Contoso-Domänenadministrator (z. B. Contoso\Administrator) angemeldet sind.

  2. Starten Sie Active Directory-Benutzer und -Computer.

  3. Klicken Sie mit der rechten Maustaste auf die Domäne "contoso.local ", und wählen Sie "Stellvertretungssteuerung" aus.

  4. Klicken Sie auf der Registerkarte "Ausgewählte Benutzer und Gruppen" auf "Hinzufügen".

  5. Klicken Sie im Popup "Benutzer, Computer oder Gruppen auswählen" auf "Speicherorte ", und ändern Sie den Speicherort in "priv.contoso.local". Geben Sie unter dem Objektnamen Domänenadministratoren ein, und klicken Sie auf "Namen überprüfen". Wenn ein Popup angezeigt wird, geben Sie bei Benutzername priv\administrator und das Kennwort ein.

  6. Geben Sie nach Domänenadministratoren den Text ein ; MIMMonitor. Nachdem die Namen "Domänenadministratoren" und "MIMMonitor" unterstrichen wurden, klicken Sie auf "OK", und klicken Sie dann auf "Weiter".

  7. Wählen Sie in der Liste der allgemeinen Aufgaben "Alle Benutzerinformationen lesen" aus, und klicken Sie dann auf "Weiter " und " Fertig stellen".

  8. Schließen Sie Active Directory-Benutzer und -Computer.

6. Ein Notfallkonto

Wenn das Ziel des Projekts zur Verwaltung des privilegierten Zugriffs darin besteht, die Anzahl der Konten mit Domänenadministratorberechtigungen, die dauerhaft der Domäne zugewiesen sind, zu verringern, muss ein Break-Glass-Konto in der Domäne vorhanden sein, falls es später ein Problem mit der Vertrauensstellung gibt. Konten für den Notfallzugriff auf den Produktionswald sollten in jeder Domäne vorhanden sein und sich nur bei Domänencontrollern anmelden können. Für Organisationen mit mehreren Websites sind möglicherweise zusätzliche Konten für Redundanz erforderlich.

7. Aktualisieren von Berechtigungen in der Bastion-Umgebung

Überprüfen Sie die Berechtigungen für das AdminSDHolder-Objekt im Systemcontainer in dieser Domäne. Das AdminSDHolder -Objekt verfügt über eine eindeutige Zugriffssteuerungsliste (Access Control List, ACL), die zum Steuern der Berechtigungen von Sicherheitsprinzipalen verwendet wird, die Mitglieder integrierter privilegierter Active Directory-Gruppen sind. Beachten Sie, wenn Änderungen an den Standardberechtigungen vorgenommen wurden, die sich auf Benutzer mit Administratorrechten in der Domäne auswirken würden, da diese Berechtigungen nicht für Benutzer gelten, deren Konto sich in der Bastion-Umgebung befindet.

Auswählen von Benutzern und Gruppen für die Aufnahme

Der nächste Schritt besteht darin, die PAM-Rollen zu definieren und die Benutzer und Gruppen zuzuordnen, auf die sie Zugriff haben sollten. Bei diesen Benutzern und Gruppen handelt es sich normalerweise um eine Teilmenge der Benutzer und Gruppen für die Ebene, die als in der geschützten Umgebung verwaltet identifiziert wurde. Weitere Informationen sind in der Definition von Rollen für Privileged Access Management enthalten.