Anhang G: Schützen von Administratorgruppen in Active Directory

  • Artikel
  • 11 Minuten Lesedauer

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang G: Schützen von Administratorgruppen in Active Directory

Wie bei den Gruppen Enterprise Admins (EA) und Domänenadministratoren (DA) sollte die Mitgliedschaft in der integrierten Gruppe "Administratoren" (BA) nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. Es sollte keine täglichen Benutzerkonten in der Gruppe "Administratoren" mit Ausnahme des integrierten Administratorkontos für die Domäne vorhanden sein, wenn sie in Anhang D beschrieben wurde: Sichern von Built-In Administratorkonten in Active Directory.

Administratoren sind standardmäßig die Besitzer der meisten AD DS-Objekte in ihren jeweiligen Domänen. Die Mitgliedschaft in dieser Gruppe kann in Build- oder Notfallwiederherstellungsszenarien erforderlich sein, in denen Der Besitz oder die Fähigkeit zum Besitz von Objekten erforderlich ist. Darüber hinaus erben DAs und EAs eine Reihe ihrer Rechte und Berechtigungen durch ihre Standardmitgliedschaft in der Gruppe "Administratoren". Die Standardgruppenschachtelung für privilegierte Gruppen in Active Directory sollte nicht geändert werden, und die Gruppe "Administratoren" jeder Domäne sollte wie in den folgenden Schrittweisen Anweisungen beschrieben gesichert werden.

Für die Gruppe "Administratoren" in jeder Domäne in der Gesamtstruktur:

  1. Entfernen Sie alle Mitglieder aus der Gruppe "Administratoren", mit Ausnahme des integrierten Administratorkontos für die Domäne, sofern sie in Anhang D beschrieben wurde: Sichern von Built-In Administratorkonten in Active Directory.

  2. In GPOs, die mit Mitgliedsservern und Arbeitsstationen in jeder Domäne verknüpft sind, sollte die BA-Gruppe den folgenden Benutzerrechten in computerkonfiguration\Policies\Windows Einstellungen\Security Einstellungen\Local Policies\ Benutzerrechtezuweisung hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

  3. Bei den Domänencontrollern in jeder Domäne in der Gesamtstruktur sollte die Gruppe "Administratoren" den folgenden Benutzerrechten gewährt werden:

    • Auf diesen Computer vom Netzwerk aus zugreifen.

    • Lokale Anmeldung zulassen

    • Anmelden über Remotedesktopdienste zulassen

  4. Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an den Eigenschaften oder der Mitgliedschaft der Gruppe "Administratoren" vorgenommen werden.

Schrittweise Anweisungen zum Entfernen aller Mitglieder aus der Gruppe "Administratoren"

  1. Klicken Sie in Server-Manager auf "Extras", und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe "Administratoren" zu entfernen:

    1. Doppelklicken Sie auf die Gruppe "Administratoren" , und klicken Sie auf die Registerkarte "Mitglieder ".

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf "Entfernen", klicken Sie auf "Ja", und klicken Sie auf "OK".

  3. Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe "Administratoren" entfernt wurden.

Schrittweise Anleitungen zum Sichern von Administratorengruppen in Active Directory

  1. Klicken Sie in Server-Manager auf Tools, und klicken Sie auf Gruppenrichtlinie Verwaltung.

  2. Erweitern Sie <in der Konsolenstruktur Gesamtstruktur>\Domänen\<Domäne>, und Gruppenrichtlinie Objekte (wobei <> Gesamtstruktur der Name der Gesamtstruktur und <> Domäne der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte, und klicken Sie auf "Neu".

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. Geben Sie <im Dialogfeld "Neues GPO" den GPO-Namen ein, und klicken Sie auf OK (wobei GPO-Name> der Name dieses GPO ist).

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf den GPO-Namen>, und klicken Sie< auf "Bearbeiten".

  6. Navigieren Sie zu Computerkonfiguration\Policies\Windows Einstellungen\Security Einstellungen\Local Policies, und klicken Sie auf "Benutzerrechtezuweisung".

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe "Administratoren" auf Mitgliedsserver und Arbeitsstationen im Netzwerk zugreifen, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf den Zugriff auf diesen Computer aus dem Netzwerk , und wählen Sie diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Geben Sie Administratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. Klicken Sie erneut auf "OK" und " OK ".

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass mitglieder der Gruppe "Administratoren" sich als Batchauftrag anmelden, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf "Abmelden" als Batchauftrag , und wählen Sie "Diese Richtlinieneinstellungen definieren" aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Geben Sie Administratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. Klicken Sie erneut auf "OK" und " OK ".

  9. Konfigurieren Sie die Benutzerrechte, um mitglieder der Gruppe "Administratoren" zu verhindern, dass sie sich als Dienst anmelden, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf "Abmelden" als Dienst , und wählen Sie "Diese Richtlinieneinstellungen definieren" aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Geben Sie Administratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. Klicken Sie erneut auf "OK" und " OK ".

  10. Um den Gruppenrichtlinie Verwaltungs-Editor zu beenden, klicken Sie auf "Datei", und klicken Sie auf "Beenden".

  11. Verknüpfen Sie in Gruppenrichtlinie Verwaltung das GPO mit den Mitgliedsserver- und Arbeitsstations-OUs, indem Sie folgendes ausführen:

    1. Navigieren Sie zu <der Gesamtstruktur>>\Domänen<\Domäne> (wobei><Gesamtstruktur der Name der Gesamtstruktur und <> Domäne der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die OU, auf die das GPO angewendet wird, und klicken Sie auf "Verknüpfen eines vorhandenen GPO".

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. Wählen Sie das GPO aus, das Sie gerade erstellt haben, und klicken Sie auf "OK".

      Screenshot that shows where to select the GPO you just created.

    4. Erstellen Sie Links zu allen anderen OUs, die Arbeitsstationen enthalten.

    5. Erstellen Sie Links zu allen anderen OUs, die Memberserver enthalten.

      Wichtig

      Wenn Sprungserver zum Verwalten von Domänencontrollern und Active Directory verwendet werden, stellen Sie sicher, dass sich Sprungserver in einer OU befinden, mit der diese GPOs nicht verknüpft sind.

      Hinweis

      Wenn Sie Einschränkungen für die Gruppe "Administratoren" in GPOs implementieren, wendet Windows die Einstellungen zusätzlich zur Gruppe "Administratoren" der Domäne auf Mitglieder der lokalen Administratorgruppe eines Computers an. Daher sollten Sie bei der Implementierung von Einschränkungen in der Gruppe "Administratoren" Vorsicht verwenden. Obwohl das Verbieten von Netzwerk-, Batch- und Dienstanmeldungen für Mitglieder der Gruppe "Administratoren" empfohlen wird, wo es möglich ist, lokale Anmeldungen oder Anmeldungen über Remotedesktopdienste zu beschränken. Das Blockieren dieser Anmeldetypen kann die legitime Verwaltung eines Computers durch Mitglieder der lokalen Administratorengruppe blockieren.

      Der folgende Screenshot zeigt Konfigurationseinstellungen, die den Missbrauch von integrierten lokalen und Domänenadministratorkonten blockieren, zusätzlich zum Missbrauch von integrierten lokalen oder Domänenadministratorengruppen. Beachten Sie, dass das Anmelden über Remotedesktopdienste-Benutzerrecht nicht die Gruppe "Administratoren" enthält, da dies in dieser Einstellung auch die Anmeldungen für Konten blockieren würde, die Mitglieder der Gruppe "Administratoren" des lokalen Computers sind. Wenn Dienste auf Computern so konfiguriert sind, dass sie im Kontext einer der in diesem Abschnitt beschriebenen privilegierten Gruppen ausgeführt werden, kann die Implementierung dieser Einstellungen dazu führen, dass Dienste und Anwendungen fehlschlagen. Wie bei allen Empfehlungen in diesem Abschnitt sollten Sie daher sorgfältig Einstellungen für die Anwendbarkeit in Ihrer Umgebung testen.

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Schrittweise Anweisungen zum Erteilen von Benutzerrechten für die Gruppe "Administratoren"

  1. Klicken Sie in Server-Manager auf Tools, und klicken Sie auf Gruppenrichtlinie Verwaltung.

  2. Erweitern Sie <in der Konsolenstruktur Gesamtstruktur>\Domänen\<Domäne>, und Gruppenrichtlinie Objekte (wobei <> Gesamtstruktur der Name der Gesamtstruktur und <> Domäne der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinie Objekte, und klicken Sie auf "Neu".

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. Geben Sie <im Dialogfeld "Neues GPO" den GPO-Namen ein, und klicken Sie auf OK (wobei <GPO-Name>> der Name dieses GPO ist).

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf den GPO-Namen>, und klicken Sie< auf "Bearbeiten".

  6. Navigieren Sie zu Computerkonfiguration\Policies\Windows Einstellungen\Security Einstellungen\Local Policies, und klicken Sie auf "Benutzerrechtezuweisung".

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. Konfigurieren Sie die Benutzerrechte, um Mitgliedern der Gruppe "Administratoren" den Zugriff auf Domänencontroller über das Netzwerk zu ermöglichen, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf Den Zugriff auf diesen Computer aus dem Netzwerk , und wählen Sie diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. Klicken Sie erneut auf "OK" und " OK ".

  8. Konfigurieren Sie die Benutzerrechte, um Mitgliedern der Gruppe "Administratoren" die lokale Anmeldung zu ermöglichen, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf " Anmelden zulassen" lokal , und wählen Sie "Diese Richtlinieneinstellungen definieren" aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Geben Sie Administratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. Klicken Sie erneut auf "OK" und " OK ".

  9. Konfigurieren Sie die Benutzerrechte, um Mitgliedern der Gruppe "Administratoren" die Anmeldung über Remotedesktopdienste zu ermöglichen, indem Sie folgendes ausführen:

    1. Doppelklicken Sie auf "Anmelden zulassen" über Remotedesktopdienste , und wählen Sie diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf "Benutzer hinzufügen" oder "Gruppe hinzufügen ", und klicken Sie auf "Durchsuchen".

    3. Geben Sie Administratoren ein, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. Klicken Sie erneut auf "OK" und " OK ".

  10. Um den Gruppenrichtlinie Verwaltungs-Editor zu beenden, klicken Sie auf "Datei", und klicken Sie auf "Beenden".

  11. Verknüpfen Sie in Gruppenrichtlinie Verwaltung das GPO mit der Domänencontroller-OU, indem Sie folgendes ausführen:

    1. Navigieren Sie zu <der Gesamtstruktur>\Domänen<\Domäne> (wobei><Gesamtstruktur der Name der Gesamtstruktur und <> Domäne der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Domänencontroller-OU, und klicken Sie auf "Verknüpfen eines vorhandenen GPO".

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. Wählen Sie das GPO aus, das Sie gerade erstellt haben, und klicken Sie auf "OK".

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

Überprüfungsschritte

Überprüfen Des "Ablehnen des Zugriffs auf diesen Computer aus dem Netzwerk" GPO Einstellungen

Von allen Memberservern oder Arbeitsstationen, die nicht von den GPO-Änderungen betroffen sind (z. B. einen "Sprungserver"), versuchen Sie, auf einen Memberserver oder eine Arbeitsstation über das Netzwerk zuzugreifen, das von den Änderungen des GPO betroffen ist. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des NET USE-Befehls zuzuordnen.

  1. Melden Sie sich lokal mit einem Konto an, das Mitglied der Gruppe "Administratoren" ist.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im Suchfeldein Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung, und klicken Sie dann auf "Als Administrator ausführen" , um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Erhöhung zu genehmigen, klicken Sie auf "Ja".

    Screenshot that highlights the User Account Control dialog box.

  5. Geben Sie im Eingabeaufforderungsfenster"Net use \\<Server Name\c$" ein, wobei Der Servername>> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den Sie über das Netzwerk zugreifen möchten.<

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden soll.

    Screenshot that highlights the logon failure error message.

Überprüfen der GPO-Einstellungen "Abmelden als Batchauftrag"

Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den GPO-Änderungen betroffen sind, lokal an.

Erstellen einer Batchdatei

  1. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  2. Geben Sie im SuchfeldEditor ein, und klicken Sie auf Editor.

  3. Geben Sie in Editor"dir:" ein.

  4. Klicken Sie auf "Datei", und klicken Sie auf "Speichern unter".

  5. Geben Sie <im Feld "Dateiname".batein (wobei "Dateiname>>" der Name der neuen Batchdatei ist).<

Planen eines Vorgangs

  1. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  2. Geben Sie im Suchfeld den Aufgabenplaner ein, und klicken Sie auf "Vorgangsplaner".

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Suchfeld Vorgänge ein, und klicken Sie auf "Vorgänge planen".

  3. Klicken Sie auf "Aktion", und klicken Sie auf "Aufgabe erstellen".

  4. Geben Sie <im Dialogfeld "Vorgang erstellen" den Vorgangsnamen ein (wobei "Vorgangsname>>" der Name des neuen Vorgangs ist).<

  5. Klicken Sie auf die Registerkarte "Aktionen ", und klicken Sie auf "Neu".

  6. Wählen Sie im Feld "Aktion " die Option "Programm starten" aus.

  7. Klicken Sie im Feld "Programm/Skript " auf "Durchsuchen", suchen Sie die Batchdatei, die im Abschnitt "Batchdatei erstellen" erstellt wurde, und klicken Sie auf " Öffnen".

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld "Sicherheitsoptionen " auf "Benutzer oder Gruppe ändern".

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "Administratoren" ist, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

  12. Wählen Sie "Ausführen" aus, ob der Benutzer angemeldet ist oder nicht , und speichern Sie kein Kennwort. Der Vorgang hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem Anmeldeinformationen des Benutzerkontos angefordert werden, um die Aufgabe auszuführen.

  15. Klicken Sie nach der Eingabe des Kennworts auf 'OK'.

  16. Ein Dialogfeld ähnlich wie im folgenden sollte angezeigt werden.

    Screenshot that highlights the Task Scheduler dialog box.

Überprüfen der GPO-Einstellungen "Anmelden als Dienst verweigern"

  1. Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den GPO-Änderungen betroffen sind, lokal an.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

  4. Suchen und doppelklicken Sie auf "Druckspooler".

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld "Anmelden alsFeld" die Option "Dieses Konto" aus.

  7. Klicken Sie auf "Durchsuchen", geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe "Administratoren" ist, klicken Sie auf "Namen überprüfen", und klicken Sie auf "OK".

  8. Geben Sie in den Feldern "Kennwort " und " Kennwort bestätigen " das Kennwort des ausgewählten Kontos ein, und klicken Sie auf "OK".

  9. Klicken Sie dreimal auf OK .

  10. Klicken Sie mit der rechten Maustaste auf "Drucken ", und klicken Sie auf "Neu starten".

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld wie folgt angezeigt werden.

    secure admin groups

Ändern des Druckerspoolerdiensts wiederherstellen

  1. Melden Sie sich von allen Mitgliedsservern oder Arbeitsstationen, die von den GPO-Änderungen betroffen sind, lokal an.

  2. Bewegen Sie mit der Maus den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charmsleiste angezeigt wird, klicken Sie auf "Suchen".

  3. Geben Sie im SuchfeldDienste ein, und klicken Sie auf "Dienste".

  4. Suchen und doppelklicken Sie auf "Druckspooler".

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld "Anmelden als Feld" auf "Lokales Systemkonto ", und klicken Sie auf "OK".