Anhang G: Schützen von Administratorgruppen in Active Directory

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang G: Schützen von Administratorgruppen in Active Directory

Wie bei den Gruppen „Unternehmensadministratoren“ (EA) und „Domänenadministratoren“ (DA) sollte die Mitgliedschaft in der Gruppe „Integrierte Administratoren“ (BA) nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. In der Gruppe „Administratoren“ sollten keine allgemeinen Benutzerkonten vorhanden sein, mit Ausnahme des integrierten Administratorkontos für die Domäne, wenn es wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt wurde.

Administratoren sind standardmäßig die Besitzer der meisten AD DS-Objekte in ihren jeweiligen Domänen. Die Mitgliedschaft in dieser Gruppe kann in Build- oder Notfallwiederherstellungsszenarien erforderlich sein, in denen der Besitz oder die Fähigkeit zur Übernahme des Besitzes von Objekten erforderlich ist. Darüber hinaus erben DAs und EAs eine Reihe ihrer Rechte und Berechtigungen aufgrund ihrer Standardmitgliedschaft in der Gruppe „Administratoren“. Die Standardgruppenschachtelung für privilegierte Gruppen in Active Directory sollte nicht geändert werden, und die Gruppe „Administratoren“ jeder Domäne sollte wie in den folgenden schrittweisen Anweisungen beschrieben geschützt werden.

! ACHTUNG Die in diesem Dokument beschriebenen Schritte sollten vor der Ausführung in der Produktion in einer anderen Umgebung als der Produktionsumgebung getestet werden.

Für die Gruppe „Administratoren“ in jeder Domäne in der Gesamtstruktur:

  1. Entfernen Sie alle Mitglieder aus der Gruppe „Administratoren“, ggf. mit Ausnahme des integrierten Administratorkontos für die Domäne, vorausgesetzt, es wurde wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt.

  2. In Gruppenrichtlinienobjekten, die mit Organisationseinheiten verknüpft sind, die Mitgliedsserver und Arbeitsstationen in jeder Domäne enthalten, sollte die BA-Gruppe den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

  3. Auf der Organisationseinheit für Domänencontroller in jeder Domäne in der Gesamtstruktur sollten der Gruppe „Administratoren“ die folgenden Benutzerrechte gewährt werden:

    • Auf diesen Computer vom Netzwerk aus zugreifen.

    • Lokale Anmeldung zulassen

    • Anmelden über Remotedesktopdienste zulassen

  4. Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an Eigenschaften oder Mitgliedschaften der Gruppe „Administratoren“ vorgenommen werden.

Schrittweise Anweisungen zum Entfernen aller Mitglieder aus der Gruppe „Administratoren“

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Active Directory-Benutzer und -Computer.

  2. Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe „Administratoren“ zu entfernen:

    1. Doppelklicken Sie auf die Gruppe Administratoren, und klicken Sie auf die Registerkarte Mitglieder.

      Screenshot that shows the Members tab for removing all members from the Administrators Group.

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf Entfernen, anschließend auf Ja und dann auf OK.

  3. Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe „Administratoren“ entfernt wurden.

Schrittweise Anweisungen zum Sichern von Administratorengruppen in Active Directory

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot that shows where to select New so you can secure Administrators Groups in Active Directory.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK. (Hierbei ist Name des Gruppenrichtlinienobjekts der Name dieses Gruppenrichtlinienobjekts.)

    Screenshot that shows where to name the G P O in the New GPO dialog box so you can secure Administrators Groups.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot that shows where to navigate so you can select the User Rights Admin option to secure Administrators Groups.

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Administratoren“ mit den folgenden Schritten über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from accessing member servers and workstations over the network.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Batchauftrag anmelden:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a batch job.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Dienst anmelden:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Administrators group from logging on as a service.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  11. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot that shows the Link an existing G P O menu option when you right-click the OU.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot that shows where to select the GPO you just created.

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

      Wichtig

      Wenn Jumpserver zum Verwalten von Domänencontrollern und Active Directory verwendet werden, stellen Sie sicher, dass sich die Jumpserver in einer Organisationseinheit befinden, mit der diese Gruppenrichtlinienobjekte nicht verknüpft sind.

      Hinweis

      Wenn Sie Einschränkungen für die Gruppe „Administratoren“ in Gruppenrichtlinienobjekten implementieren, wendet Windows die Einstellungen nicht nur auf die Mitglieder der Gruppe „Administratoren“ der Domäne auch auf Mitglieder der lokalen Administratorgruppe eines Computers an. Daher sollten Sie beim Implementieren von Einschränkungen in der Gruppe „Administratoren“ Vorsicht walten lassen. Obwohl es ratsam ist, Netzwerk-, Batch- und Dienstanmeldungen für Mitglieder der Gruppe „Administratoren“ zu verbieten, wo immer dies möglich ist, sollten lokale Anmeldungen oder Anmeldungen über Remotedesktopdienste nicht eingeschränkt werden. Das Blockieren dieser Anmeldetypen kann die legitime Verwaltung eines Computers durch Mitglieder der lokalen Administratorgruppe blockieren.

      Der folgende Screenshot zeigt Konfigurationseinstellungen, die zusätzlich zum Missbrauch von integrierten lokalen oder Domänenadministratorgruppen den Missbrauch von integrierten lokalen und Domänenadministratorkonten blockieren. Beachten Sie, dass das Benutzerrecht Anmelden über Remotedesktopdienste verweigern die Gruppe „Administratoren“ nicht einschließt, da die Einbeziehung dieser Gruppe in diese Einstellung diese Anmeldungen auch für Konten blockieren würde, die Mitglieder der Gruppe „Administratoren“ des lokalen Computers sind. Wenn Dienste auf Computern so konfiguriert sind, dass sie im Kontext einer der in diesem Abschnitt beschriebenen privilegierten Gruppen ausgeführt werden, kann die Implementierung dieser Einstellungen zu Fehlern bei Diensten und Anwendungen führen. Daher sollten Sie, wie bei allen Empfehlungen in diesem Abschnitt, die Einstellungen gründlich auf Anwendbarkeit in Ihrer Umgebung testen.

      Screenshot that shows configuration settings that block misuse of built-in local and domain Administrator accounts.

Schrittweise Anweisungen zum Gewähren von Benutzerrechten für die Gruppe „Administratoren“

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot that shows the menu that displays when you right-click Group Policy Objects.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK. (Hierbei ist <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts.)

    Screenshot that shows where to name the G P O so you can secure Administrators Groups.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Administrators Groups.

  7. Konfigurieren Sie die Benutzerrechte, damit Mitglieder der Gruppe „Administratoren“ über das Netzwerk auf Domänencontroller zugreifen können, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to access domain controllers over the network.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte lokal anzumelden:

    1. Doppelklicken Sie auf Lokal anmelden zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on locally.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte über Remotedesktopdienste anzumelden:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to allow members of the Administrators group to log on through Remote Desktop Services.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  11. Verknüpfen Sie in Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit der Organisationseinheit für Domänencontroller, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit für Domänencontroller, und klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot that shows the Link an existing GPO menu option when you're attempting to link the G P O to the domain controllers OU.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot that shows where to select the GPO you just created while you're linking the G P O to the member workstations and server.

Überprüfungsschritte

Überprüfen der GPO-Einstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die Einstellungen des Gruppenrichtlinienobjekts zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.

  1. Melden Sie sich mit einem Konto an, das Mitglied der Gruppe „Administratoren“ ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.

    Screenshot that highlights the User Account Control dialog box.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Servername>\c$ ein, wobei <Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot enthält die Fehlermeldung, die angezeigt werden sollte.

    Screenshot that highlights the logon failure error message.

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname den Namen <Dateiname>.bat ein (wobei <Dateiname> für den Namen der neuen Batchdatei steht).

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Feld „Suchen“ den Text „Aufgaben planen“ ein, und klicken Sie auf „Aufgaben planen“.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Wählen Sie im Feld Aktion die Option Programm starten aus.

  7. Klicken Sie im Feld Programm/Skript auf Durchsuchen, suchen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei, wählen Sie sie aus, und klicken Sie anschließend auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Administratoren“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Benutzeranmeldeinformationen zum Ausführen der Aufgabe angefordert werden.

  15. Klicken Sie nach Eingabe des Kennworts auf OK.

  16. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Screenshot that highlights the Task Scheduler dialog box.

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf Durchsuchen, geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Administratoren“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    secure admin groups

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld Anmelden als auf Lokales Systemkonto und dann auf OK.