Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Just Enough Administration (JEA) ist eine Sicherheitstechnologie, die eine delegierte Verwaltung für sämtliche Elemente ermöglicht, die von PowerShell verwaltet werden. Mit JEA ist Folgendes möglich:
- Verringern Sie die Anzahl der Administratoren auf Ihren Computern , indem Sie virtuelle Konten oder gruppenverwaltete Dienstkonten verwenden, um privilegierte Aktionen im Auftrag regulärer Benutzer auszuführen.
- Beschränken Sie, was Benutzer tun können , indem Sie angeben, welche Cmdlets, Funktionen und externen Befehle sie ausführen können.
- Verstehen Sie besser, was Ihre Benutzer mit Transkriptionen und Protokollen tun, die Ihnen zeigen, welche Befehle ein Benutzer während seiner Sitzung ausgeführt hat.
Warum ist JEA wichtig?
Konten, die mit weitreichenden Berechtigungen zum Verwalten der Server verwendet werden, stellen ein ernsthaftes Sicherheitsrisiko dar. Sollte ein Angreifer eines dieser Konten kompromittieren, könnten sie Lateralangriffe in Ihrer Organisation starten. Jedes kompromittierte Konto gewährt einem Angreifer Zugriff auf noch mehr Konten und Ressourcen und legt sie einen Schritt näher, um Unternehmensgeheimnisse zu stehlen, einen Denial-of-Service-Angriff zu starten und vieles mehr.
Administrative Berechtigungen sind jedoch nicht leicht zu entfernen. Berücksichtigen Sie das häufige Szenario, in dem die DNS-Rolle auf demselben Computer wie Ihr Active Directory-Domänencontroller installiert ist. Ihre DNS-Administratoren benötigen lokale Administratorrechte zum Beheben von Problemen mit dem DNS-Server. Dazu müssen Sie sie jedoch zu Mitgliedern der Sicherheitsgruppe Domänenadministratoren machen. Dieser Ansatz ermöglicht DNS-Administratoren effektiv die Kontrolle über Ihre gesamte Domäne und den Zugriff auf alle Ressourcen auf diesem Computer.
JEA behebt dieses Problem durch das Prinzip der geringsten Rechte. Mit JEA können Sie einen Verwaltungsendpunkt für DNS-Administratoren konfigurieren, die dadurch über Zugriff nur auf PowerShell-Befehle verfügen, die sie für ihre Arbeit benötigen. Das bedeutet, dass Sie ihnen den entsprechenden Zugriff gewähren können, damit ein beschädigter DNS-Cache repariert oder der DNS-Server neu gestartet werden kann, ohne gleichzeitig unbeabsichtigt Berechtigungen für Active Directory, das Durchsuchen des Dateisystems oder die Ausführung potenziell gefährlicher Skripts zu erteilen. Noch besser, wenn die JEA-Sitzung für die Verwendung temporärer privilegierter virtueller Konten konfiguriert ist, können Ihre DNS-Administratoren mithilfe von Anmeldeinformationen, die keine Administratoranmeldeinformationen verwenden, eine Verbindung mit dem Server herstellen und weiterhin Befehle ausführen, die in der Regel Administratorrechte erfordern. JEA ermöglicht es Ihnen, Benutzer aus weitreichend privilegierten lokalen/Domänenadministratorrollen zu entfernen und genau zu steuern, was sie auf jedem Computer tun können.
Nächste Schritte
Weitere Informationen zu den Anforderungen für die Verwendung von JEA finden Sie im Artikel " Voraussetzungen" .
Beispiele und DSC-Ressource
Beispiele für JEA-Konfigurationen und die JEA DSC-Ressource finden Sie im JEA GitHub-Repository.
Zusammenarbeit auf GitHub
Die Quelle für diesen Inhalt finden Sie auf GitHub, wo Sie auch Issues und Pull Requests erstellen und überprüfen können. Weitere Informationen finden Sie in unserem Leitfaden für Mitwirkende.
