Anhang D: Schützen integrierter Administratorkonten in Active Directory

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang D: Schützen integrierter Administratorkonten in Active Directory

In jeder Domäne in Active Directory wird im Rahmen der Erstellung der Domäne ein Administratorkonto erstellt. Dieses Konto ist standardmäßig Mitglied der Gruppen „Domänenadministratoren“ und „Administratoren“ in der Domäne, und wenn die Domäne die Stammdomäne der Gesamtstruktur ist, ist das Konto auch Mitglied der Gruppe „Unternehmensadministratoren“.

Die Verwendung des Administratorkontos einer Domäne sollte auf anfängliche Buildaktivitäten und ggf. Notfallwiederherstellungsszenarien beschränkt sein. Um sicherzustellen, dass ein Administratorkonto verwendet werden kann, um Reparaturen durchzuführen, falls keine anderen Konten verwendet werden können, sollten Sie die Standardmitgliedschaft des Administratorkontos in keiner Domäne in der Gesamtstruktur ändern. Stattdessen sollten Sie das Administratorkonto in jeder Domäne in der Gesamtstruktur schützen, wie im folgenden Abschnitt und in den nachfolgenden schrittweisen Anweisungen beschrieben.

Hinweis

In diesem Leitfaden wurde bisher empfohlen, das Konto zu deaktivieren. Diese Empfehlung wurde entfernt, da im Whitepaper zur Wiederherstellung der Gesamtstruktur das Standardadministratorkonto verwendet wird. Der Grund dafür ist, dass dies das einzige Konto ist, das die Anmeldung ohne globalen Katalogserver zulässt.

Steuerelemente für integrierte Administratorkonten

Für das integrierte Administratorkonto in jeder Domäne in Ihrer Gesamtstruktur sollten Sie die folgenden Einstellungen konfigurieren:

  • Aktivieren Sie das Flag Konto ist vertraulich und kann nicht delegiert werden für das Konto.

  • Aktivieren Sie das Flag Benutzer muss sich mit einer Smartcard anmelden für das Konto.

  • Konfigurieren Sie Gruppenrichtlinienobjekte, um die Verwendung des Administratorkontos auf in die Domäne eingebundenen Systemen einzuschränken:

    • Fügen Sie in einem oder mehreren Gruppenrichtlinienobjekten, die Sie erstellen und mit Organisationseinheiten für Arbeitsstationen und Mitgliedsserver in jeder Domäne verknüpfen, das Administratorkonto der einzelnen Domänen zu den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzu:

      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Hinweis

Wenn Sie dieser Einstellung Konten hinzufügen, müssen Sie angeben, ob Sie lokale Administratorkonten oder Domänenadministratorkonten konfigurieren. Um beispielsweise das Administratorkonto der Domäne NWTRADERS zu diesen Verweigerungsrechten hinzuzufügen, müssen Sie das Konto als „NWTRADERS\Administrator“ eingeben oder zum Administratorkonto für die Domäne NWTRADERS navigieren. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor „Administrator“ eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird.

Es wird empfohlen, lokale Administratorkonten auf Mitgliedsservern und Arbeitsstationen auf die gleiche Weise wie domänenbasierte Administratorkonten einzuschränken. Daher sollten Sie in der Regel das Administratorkonto für jede Domäne in der Gesamtstruktur und das Administratorkonto für die lokalen Computer zu diesen Einstellungen für Benutzerrechte hinzufügen. Der folgende Screenshot zeigt ein Beispiel für die Konfiguration dieser Benutzerrechte, um zu verhindern, dass lokale Administratorkonten und das Administratorkonto einer Domäne Anmeldungen ausführen, die für diese Konten nicht erforderlich sind.

Screenshot: Zuweisen von Benutzerrechten.

  • Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken von Administratorkonten auf Domänencontrollern
    • In jeder Domäne in der Gesamtstruktur sollte das Gruppenrichtlinienobjekt des Standarddomänencontrollers oder eine Richtlinie, die mit der Organisationseinheit für Domänencontroller verknüpft ist, so geändert werden, dass das Administratorkonto jeder Domäne den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzugefügt wird:
      • Zugriff vom Netzwerk auf diesen Computer verweigern

      • Anmelden als Batchauftrag verweigern

      • Anmelden als Dienst verweigern

      • Anmelden über Remotedesktopdienste verweigern

Hinweis

Diese Einstellungen gewährleisten, dass das integrierte Administratorkonto der Domäne nicht zum Herstellen einer Verbindung mit einem Domänencontroller verwendet werden kann, obwohl sich das Konto lokal bei Domänencontrollern anmelden kann. Da dieses Konto nur in Notfallwiederherstellungsszenarien verwendet werden sollte, wird davon ausgegangen, dass physischer Zugriff auf mindestens einen Domänencontroller verfügbar ist oder dass andere Konten mit Berechtigungen für den Remotezugriff auf Domänencontroller verwendet werden können.

  • Konfigurieren der Überwachung von Administratorkonten

    Wenn Sie das Administratorkonto jeder Domäne abgesichert haben, sollten Sie die Überwachung so konfigurieren, dass die Verwendung des Kontos oder Änderungen am Konto überwacht werden. Wenn eine Anmeldung beim Konto erfolgt, sein Kennwort zurückgesetzt wird oder andere Änderungen am Konto vorgenommen werden, sollten Warnungen an die Benutzer oder Teams gesendet werden, die für die Verwaltung von Active Directory verantwortlich sind, sowie an die Teams, die für die Reaktion auf Incidents in Ihrer Organisation zuständig sind.

Schrittweise Anweisungen zum Sichern integrierter Administratorkonten in Active Directory

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Active Directory-Benutzer und -Computer.

  2. Führen Sie die folgenden Schritte aus, um Angriffe zu verhindern, die die Delegierung nutzen, um die Anmeldeinformationen des Kontos auf anderen Systemen zu verwenden:

    1. Klicken Sie mit der rechten Maustaste auf das Konto Administrator, und klicken Sie dann auf Eigenschaften.

    2. Klicken Sie auf die Registerkarte Konto.

    3. Wählen Sie unter Kontooptionen das Flag Konto ist vertraulich und kann nicht delegiert werden aus, wie im folgenden Screenshot gezeigt, und klicken Sie auf OK.

      Screenshot: Kontrollkästchen „Konto ist vertraulich und kann nicht delegiert werden“.

  3. Führen Sie die folgenden Schritte aus, um das Flag Benutzer muss sich mit einer Smartcard anmelden für das Konto zu aktivieren:

    1. Klicken Sie mit der rechten Maustaste auf das Konto Administrator, und wählen Sie Eigenschaften aus.

    2. Klicken Sie auf die Registerkarte Konto.

    3. Wählen Sie unter den Konto-Optionen das Flag Benutzer muss sich mit einer Smartcard anmelden aus, wie im folgenden Screenshot gezeigt, und klicken Sie auf OK.

      Screenshot: Kontrollkästchen „Benutzer muss sich mit einer Smartcard anmelden“.

Konfigurieren von Gruppenrichtlinienobjekten zum Einschränken von Administratorkonten auf Domänenebene

Warnung

Dieses Gruppenrichtlinienobjekt sollte niemals auf Domänenebene verknüpft werden, da es das integrierte Administratorkonto selbst in Notfallwiederherstellungsszenarien unbrauchbar machen kann.

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie erstellen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot: Gruppenrichtlinienobjekte in der Konsolenstruktur.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK (wobei <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts ist), wie im folgenden Screenshot gezeigt.

    Screenshot: Dialogfeld „Neues Gruppenrichtlinienobjekt“.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot: Gruppenrichtlinienverwaltungs-Editor.

  7. Konfigurieren Sie die Benutzerrechte so, dass das Administratorkonto nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administrator ein, klicken Sie auf Namen überprüfen und dann auf OK. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: Format „Domänenname\Benutzername“.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte so, dass dem Administratorkonto die Anmeldung als Batchauftrag verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administrator ein, klicken Sie auf Namen überprüfen und dann auf OK. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Batchauftrag anmeldet.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte so, dass dem Administratorkonto die Anmeldung als Dienst verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administrator ein, klicken Sie auf Namen überprüfen und dann auf OK. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich das Administratorkonto als Dienst anmeldet.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Konfigurieren Sie die Benutzerrechte so, dass das Administratorkonto nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen kann:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administrator ein, klicken Sie auf Namen überprüfen und dann auf OK. Stellen Sie sicher, dass das Konto im Format „<Domänenname>\Benutzername“ angezeigt wird, wie im folgenden Screenshot angegeben.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass das BA-Konto über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreift.

    4. Klicken Sie auf OK und dann erneut auf OK.

  11. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  12. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot: Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“.

    3. Wählen Sie das erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot: Auswahl des erstellten Gruppenrichtlinienobjekts.

    4. Erstellen Sie Links zu allen anderen Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

Wichtig

Wenn Sie diesen Einstellungen das Administratorkonto hinzufügen, geben Sie anhand der Bezeichnung des Kontos an, ob Sie ein lokales Administratorkonto oder ein Domänenadministratorkonto konfigurieren. Wenn Sie beispielsweise das Administratorkonto der Domäne TAILSPINTOYS zu diesen Verweigerungsrechten hinzufügen möchten, navigieren Sie zum Administratorkonto für die Domäne TAILSPINTOYS, das als TAILSPINTOYS\Administrator angezeigt wird. Wenn Sie in diesen Einstellungen für Benutzerrechte im Gruppenrichtlinienobjekt-Editor „Administrator“ eingeben, schränken Sie das lokale Administratorkonto auf jedem Computer ein, auf den das Gruppenrichtlinienobjekt angewendet wird, wie zuvor beschrieben.

Überprüfungsschritte

Die hier beschriebenen Überprüfungsschritte beziehen sich auf Windows 8 und Windows Server 2012.

Überprüfen der Kontooption „Benutzer muss sich mit einer Smartcard anmelden“
  1. Versuchen Sie, sich von allen Mitgliedsservern oder Arbeitsstationen aus, die von den Änderungen des Gruppenrichtlinienobjekts betroffen sind, interaktiv bei der Domäne anzumelden, indem Sie das integrierte Administratorkonto der Domäne verwenden. Nachdem Sie versucht haben, sich anzumelden, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

Screenshot: Sie müssen eine Smartcard verwenden, um sich anzumelden.

Überprüfen der Gruppenrichtlinieneinstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation, der bzw. die nicht von den Änderungen des Gruppenrichtlinienobjekts betroffen ist (z. B. ein Jumpserver), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die Änderungen des Gruppenrichtlinienobjekts gelten. Um die Einstellungen des Gruppenrichtlinienobjekts zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des Befehls NET USE zuzuordnen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit dem integrierten Administratorkonto der Domäne bei der Domäne an.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Rechteerweiterung zu genehmigen, klicken Sie auf Ja.

    Screenshot: Dialogfeld „Benutzerzugriffssteuerung“.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Servername>\c$ ein, wobei <Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot enthält die Fehlermeldung, die angezeigt werden sollte.

    Screenshot eines Zugriffsfehlers.

Überprüfen der Gruppenrichtlinieneinstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei
  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie in Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname den Namen <Dateiname>.bat ein (wobei <Dateiname> für den Namen der neuen Batchdatei steht).

Planen einer Aufgabe
  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Feld „Suchen“ den Text Aufgaben planen ein, und klicken Sie auf Aufgaben planen.

  3. Klicken Sie unter Aufgabenplanung auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Wählen Sie unter Aktion die Option Programm starten aus.

  7. Klicken Sie unter Programm/Skript auf Durchsuchen, suchen Sie die im Abschnitt „Batchdatei erstellen“ erstellte Batchdatei, wählen Sie sie aus, und klicken Sie anschließend auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen des Administratorkontos auf Domänenebene ein, klicken Sie auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.

  15. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

  16. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Screenshot: Dialogfeld „Aufgabenplanung“.

Überprüfen der Gruppenrichtlinieneinstellung „Anmelden als Dienst verweigern“
  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf Durchsuchen, geben Sie den Namen des Administratorkontos auf Domänenebene ein, klicken Sie auf Namen überprüfen und dann auf OK.

  8. Geben Sie unter Kennwort und Kennwort bestätigen das Kennwort des Administratorkontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf den Druckwarteschlangendienst und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld wie das folgende angezeigt werden.

    Screenshot: Dialogfeld „Dienste“.

Zurücksetzen von Änderungen am Druckwarteschlangendienst
  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als das Konto Lokales System aus, und klicken Sie auf OK.

Überprüfen der Gruppenrichtlinieneinstellung „Anmelden über Remotedesktopdienste verweigern“
  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Remotedesktopverbindung ein, und klicken Sie auf Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können auch die IP-Adresse anstelle des Computernamens eingeben.)

  4. Geben Sie bei entsprechender Aufforderung Anmeldeinformationen für den Namen des Administratorkontos auf Domänenebene an.

  5. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Schützen integrierter Administratorkonten