Anhang I: Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active DirectoryAppendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory

Gilt für: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Eine der Herausforderungen bei der Implementierung eines Active Directory Modells, das sich nicht auf die permanente Mitgliedschaft in sehr privilegierten Gruppen stützt, besteht darin, dass es einen Mechanismus zum Auffüllen dieser Gruppen geben muss, wenn eine temporäre Mitgliedschaft in den Gruppen erforderlich ist.One of the challenges in implementing an Active Directory model that does not rely on permanent membership in highly privileged groups is that there must be a mechanism to populate these groups when temporary membership in the groups is required. Einige privilegierte Identitäts Verwaltungslösungen erfordern, dass den Dienst Konten der Software permanente Mitgliedschaft in Gruppen wie z. b. da oder Administratoren in jeder Domäne in der Gesamtstruktur gewährt wird.Some privileged identity management solutions require that the software's service accounts are granted permanent membership in groups such as DA or Administrators in each domain in the forest. Es ist jedoch technisch nicht erforderlich, dass Privileged Identity Management (PIM)-Lösungen ihre Dienste in solch hoch privilegierten Kontexten ausführen.However, it is technically not necessary for Privileged Identity Management (PIM) solutions to run their services in such highly privileged contexts.

Dieser Anhang enthält Informationen, die Sie für nativ implementierte oder Drittanbieter-PIM-Lösungen zum Erstellen von Konten mit eingeschränkten Berechtigungen verwenden können. Sie können jedoch auch für das Auffüllen privilegierter Gruppen in Active Directory verwendet werden, wenn eine temporäre Erhöhung erforderlich ist.This appendix provides information that you can use for natively implemented or third-party PIM solutions to create accounts that have limited privileges and can be stringently controlled, but can be used to populate privileged groups in Active Directory when temporary elevation is required. Wenn Sie PIM als native Lösung implementieren, können diese Konten von Administratoren verwendet werden, um die temporäre Gruppen Population durchzuführen. Wenn Sie PIM über Software von Drittanbietern implementieren, können Sie diese Konten möglicherweise als Dienst Konten anpassen.If you are implementing PIM as a native solution, these accounts may be used by administrative staff to perform the temporary group population, and if you're implementing PIM via third-party software, you might be able to adapt these accounts to function as service accounts.

Hinweis

Die in diesem Anhang beschriebenen Verfahren bieten einen Ansatz für die Verwaltung von Gruppen mit hohen Berechtigungen in Active Directory.The procedures described in this appendix provide one approach to the management of highly privileged groups in Active Directory. Sie können diese Prozeduren an Ihre Anforderungen anpassen, zusätzliche Einschränkungen hinzufügen oder einige der hier beschriebenen Einschränkungen weglassen.You can adapt these procedures to suit your needs, add additional restrictions, or omit some of the restrictions that are described here.

Erstellen von Verwaltungskonten für geschützte Konten und Gruppen in Active DirectoryCreating Management Accounts for Protected Accounts and Groups in Active Directory

Das Erstellen von Konten, die zum Verwalten der Mitgliedschaft privilegierter Gruppen verwendet werden können, ohne dass den Verwaltungs Konten übermäßige Rechte und Berechtigungen gewährt werden müssen, besteht aus vier allgemeinen Aktivitäten, die in den folgenden schrittweisen Anweisungen beschrieben werden:Creating accounts that can be used to manage the membership of privileged groups without requiring the management accounts to be granted excessive rights and permissions consists of four general activities that are described in the step-by-step instructions that follow:

  1. Zuerst sollten Sie eine Gruppe erstellen, die die Konten verwaltet, da diese Konten von einer begrenzten Anzahl vertrauenswürdiger Benutzer verwaltet werden sollen.First, you should create a group that will manage the accounts, because these accounts should be managed by a limited set of trusted users. Wenn Sie nicht bereits über eine OE-Struktur verfügen, die das Trennen privilegierter und geschützter Konten und Systeme von der allgemeinen Einwohnerzahl in der Domäne unterscheidet, sollten Sie eine erstellen.If you do not already have an OU structure that accommodates segregating privileged and protected accounts and systems from the general population in the domain, you should create one. Obwohl in diesem Anhang keine speziellen Anweisungen bereitgestellt werden, zeigen Screenshots ein Beispiel für eine solche Organisationseinheiten Hierarchie an.Although specific instructions are not provided in this appendix, screenshots show an example of such an OU hierarchy.

  2. Erstellen Sie die Verwaltungs Konten.Create the management accounts. Diese Konten sollten als "reguläre" Benutzerkonten erstellt werden, und es sind keine Benutzerrechte mehr vorhanden, die über diejenigen hinausgehen, die Benutzern standardmäßig bereits erteilt wurden.These accounts should be created as "regular" user accounts and granted no user rights beyond those that are already granted to users by default.

  3. Implementieren Sie Einschränkungen für die Verwaltungs Konten, die Sie nur für den speziellen Zweck verwenden, für den Sie erstellt wurden. Außerdem können Sie steuern, wer die Konten aktivieren und verwenden darf (die Gruppe, die Sie im ersten Schritt erstellt haben).Implement restrictions on the management accounts that make them usable only for the specialized purpose for which they were created, in addition to controlling who can enable and use the accounts (the group you created in the first step).

  4. Konfigurieren Sie die Berechtigungen für das AdminSDHolder-Objekt in jeder Domäne, damit die Verwaltungs Konten die Mitgliedschaft der privilegierten Gruppen in der Domäne ändern können.Configure permissions on the AdminSDHolder object in each domain to allow the management accounts to change the membership of the privileged groups in the domain.

Sie sollten alle diese Prozeduren gründlich testen und Sie nach Bedarf für Ihre Umgebung ändern, bevor Sie Sie in einer Produktionsumgebung implementieren.You should thoroughly test all of these procedures and modify them as needed for your environment before implementing them in a production environment. Sie sollten außerdem überprüfen, ob alle Einstellungen erwartungsgemäß funktionieren (einige Test Prozeduren werden in diesem Anhang bereitgestellt), und Sie sollten ein Notfall Wiederherstellungs Szenario testen, in dem die Verwaltungs Konten nicht zur Verwendung zum Auffüllen geschützter Gruppen zu Wiederherstellungs Zwecken verwendet werden können.You should also verify that all settings work as expected (some testing procedures are provided in this appendix), and you should test a disaster recovery scenario in which the management accounts are not available to be used to populate protected groups for recovery purposes. Weitere Informationen zum Sichern und Wiederherstellen Active Directory finden Sie in der schrittweisen Anleitung zur AD DS Sicherung undWiederherstellung.For more information about backing up and restoring Active Directory, see the AD DS Backup and Recovery Step-by-Step Guide.

Hinweis

Durch die Implementierung der in diesem Anhang beschriebenen Schritte erstellen Sie Konten, die in der Lage sind, die Mitgliedschaft aller geschützten Gruppen in den einzelnen Domänen zu verwalten, nicht nur die Active Directory Gruppen mit den höchsten Berechtigungen wie EAS, das und Bas.By implementing the steps described in this appendix, you will create accounts that will be able to manage the membership of all protected groups in each domain, not only the highest-privilege Active Directory groups like EAs, DAs and BAs. Weitere Informationen zu geschützten Gruppen in Active Directory finden Sie unter Anhang C: geschützte Konten und Gruppen in Active Directory.For more information about protected groups in Active Directory, see Appendix C: Protected Accounts and Groups in Active Directory.

Schritt-für-Schritt-Anleitung zum Erstellen von Verwaltungs Konten für geschützte GruppenStep-by-Step Instructions for Creating Management Accounts for Protected Groups

Erstellen einer Gruppe zum Aktivieren und Deaktivieren von Verwaltungs KontenCreating a Group to Enable and Disable Management Accounts

Die Kenn Wörter der Verwaltungs Konten sollten bei jeder Verwendung zurückgesetzt werden und sollten deaktiviert werden, wenn die Aktivitäten, die Sie benötigen, fertiggestellt werdenManagement accounts should have their passwords reset at each use and should be disabled when activities requiring them are complete. Obwohl Sie ggf. auch die Smartcard-Anmelde Anforderungen für diese Konten implementieren, handelt es sich um eine optionale Konfiguration. bei diesen Anweisungen wird davon ausgegangen, dass die Verwaltungs Konten mit einem Benutzernamen und einem langen, komplexen Kennwort als minimale Kontrolle konfiguriert werden.Although you might also consider implementing smart card logon requirements for these accounts, it is an optional configuration and these instructions assume that the management accounts will be configured with a user name and long, complex password as minimum controls. In diesem Schritt erstellen Sie eine Gruppe, die über die Berechtigung zum Zurücksetzen des Kennworts für die Verwaltungs Konten und zum Aktivieren und Deaktivieren der Konten verfügt.In this step, you will create a group that has permissions to reset password on the management accounts and to enable and disable the accounts.

Führen Sie die folgenden Schritte aus, um eine Gruppe zum Aktivieren und Deaktivieren von Verwaltungs Konten zu erstellen:To create a group to enable and disable management accounts, perform the following steps:

  1. Klicken Sie in der OE-Struktur, in der Sie die Verwaltungs Konten einrichten werden, mit der rechten Maustaste auf die Organisationseinheit, in der Sie die Gruppe erstellen möchten, klicken Sie auf neu und dann auf GruppeIn the OU structure where you will be housing the management accounts, right-click the OU where you want to create the group, click New and click Group.

    Screenshot, der zeigt, wie Sie die Menüoption "Gruppe" auswählen.

  2. Geben Sie im Dialogfeld Neues Objekt-Gruppe einen Namen für die Gruppe ein.In the New Object - Group dialog box, enter a name for the group. Wenn Sie beabsichtigen, diese Gruppe zu verwenden, um alle Verwaltungs Konten in Ihrer Gesamtstruktur zu aktivieren, legen Sie Sie als universelle Sicherheitsgruppe fest.If you plan to use this group to "activate" all management accounts in your forest, make it a universal security group. Wenn Sie über eine Gesamtstruktur mit einer einzelnen Domäne verfügen oder beabsichtigen, eine Gruppe in jeder Domäne zu erstellen, können Sie eine globale Sicherheitsgruppe erstellen.If you have a single-domain forest or if you plan to create a group in each domain, you can create a global security group. Klicken Sie auf OK, um die Gruppe zu erstellen.Click OK to create the group.

    Screenshot, der anzeigt, wo der Gruppenname im Dialogfeld "neues Objekt-Gruppe" eingegeben werden soll.

  3. Klicken Sie mit der rechten Maustaste auf die soeben erstellte Gruppe, klicken Sie auf Eigenschaften und dann auf die Registerkarte Objekt . Wählen Sie im Dialogfeld Objekt Eigenschaft der Gruppe die Option Objekt vor versehentlichem Löschen schützen aus, was nicht nur verhindert, dass anderweitig autorisierte Benutzer die Gruppe löschen, sondern auch, dass Sie in eine andere Organisationseinheit verschoben wird, es sei denn, das Attribut wird zuerst deaktiviert.Right-click the group you just created, click Properties, and click the Object tab. In the group's Object property dialog box, select Protect object from accidental deletion, which will not only prevent otherwise-authorized users from deleting the group, but also from moving it to another OU unless the attribute is first deselected.

    Screenshot, der die Registerkarte "Objekt" anzeigt.

    Hinweis

    Wenn Sie bereits Berechtigungen für die übergeordnete Organisationseinheiten der Gruppe konfiguriert haben, um die Verwaltung auf eine begrenzte Anzahl von Benutzern zu beschränken, müssen Sie möglicherweise nicht die folgenden Schritte ausführen.If you have already configured permissions on the group's parent OUs to restrict administration to a limited set of users, you may not need to perform the following steps. Sie werden hier bereitgestellt, damit Sie selbst dann, wenn Sie noch keine eingeschränkte administrative Kontrolle über die Struktur der Organisationseinheit implementiert haben, in der Sie diese Gruppe erstellt haben, die Gruppe vor Änderungen durch nicht autorisierte Benutzer sichern können.They are provided here so that even if you have not yet implemented limited administrative control over the OU structure in which you've created this group, you can secure the group against modification by unauthorized users.

  4. Klicken Sie auf die Registerkarte Mitglieder , und fügen Sie die Konten für Mitglieder Ihres Teams hinzu, die für das Aktivieren von Verwaltungs Konten oder das Auffüllen geschützter Gruppen bei Bedarf verantwortlich sein werden.Click the Members tab, and add the accounts for members of your team who will be responsible for enabling management accounts or populating protected groups when necessary.

    Screenshot, der die Konten auf der Registerkarte "Mitglieder" anzeigt.

  5. Wenn Sie dies noch nicht getan haben, klicken Sie in der Konsole Active Directory-Benutzer und-Computer auf anzeigen , und wählen Sie Erweiterte Features aus.If you have not already done so, in the Active Directory Users and Computers console, click View and select Advanced Features. Klicken Sie mit der rechten Maustaste auf die soeben erstellte Gruppe, klicken Sie auf Eigenschaften und dann auf die Registerkarte Sicherheit . Klicken Sie auf der Registerkarte Sicherheit auf erweitert.Right-click the group you just created, click Properties, and click the Security tab. On the Security tab, click Advanced.

    Screenshot, der die Schaltfläche Erweitert auf der Registerkarte "Sicherheit" anzeigt.

  6. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen für [Gruppe] auf Vererbung deaktivieren.In the Advanced Security Settings for [Group] dialog box, click Disable Inheritance. Wenn Sie dazu aufgefordert werden, klicken Sie auf geerbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren, und klicken Sie auf OK , um zum Dialogfeld Sicherheit der Gruppe zurückzukehren.When prompted, click Convert inherited permissions into explicit permissions on this object, and click OK to return to the group's Security dialog box.

    Screenshot, der anzeigt, wo die Option geerbte Berechtigungen konvertieren in explizite Berechtigungen für diese Objekt Option ausgewählt wird.

  7. Entfernen Sie auf der Registerkarte Sicherheit Gruppen, denen der Zugriff auf diese Gruppe nicht gestattet werden soll.On the Security tab, remove groups that should not be permitted to access this group. Wenn Sie z. b. nicht möchten, dass authentifizierte Benutzer den Namen der Gruppe und allgemeine Eigenschaften lesen können, können Sie diesen ACE entfernen.For example, if you do not want Authenticated Users to be able to read the group's name and general properties, you can remove that ACE. Sie können auch ACEs entfernen, wie z. b. Konten für Konto-und Windows Server-kompatible Zugriffe vor Windows 2000.You can also remove ACEs, such as those for account operators and pre-Windows 2000 Server compatible access. Sie sollten jedoch einen minimalen Satz von Objekt Berechtigungen überlassen.You should, however, leave a minimum set of object permissions in place. Behalten Sie die folgenden ACEs bei:Leave the following ACEs intact:

    • SELFSELF

    • SYSTEMSYSTEM

    • DomänenadministratorenDomain Admins

    • OrganisationsadministratorenEnterprise Admins

    • AdministratorenAdministrators

    • Windows-Autorisierungs Zugriffs Gruppe (falls zutreffend)Windows Authorization Access Group (if applicable)

    • DOMÄNENCONTROLLER DER ORGANISATIONENTERPRISE DOMAIN CONTROLLERS

    Obwohl es möglicherweise intuitiv erscheint, dass die Gruppen mit den höchsten Berechtigungen in Active Directory diese Gruppe verwalten können, besteht das Ziel der Implementierung dieser Einstellungen nicht darin, dass Mitglieder dieser Gruppen autorisierte Änderungen vornehmen.Although it may seem counterintuitive to allow the highest privileged groups in Active Directory to manage this group, your goal in implementing these settings is not to prevent members of those groups from making authorized changes. Vielmehr soll sichergestellt werden, dass bei einer Zeit, in der eine sehr hohe Berechtigungsstufe erforderlich ist, autorisierte Änderungen erfolgreich ausgeführt werden.Rather, the goal is to ensure that when you have occasion to require very high levels of privilege, authorized changes will succeed. Der Grund hierfür ist, dass das Ändern der standardmäßigen privilegierten Gruppen Schachtelung, der Rechte und der Berechtigungen in diesem Dokument nicht empfehlenswert ist.It is for this reason that changing default privileged group nesting, rights, and permissions are discouraged throughout this document. Wenn Sie die Standard Strukturen intakt lassen und die Mitgliedschaft der Gruppen mit den höchsten Berechtigungen im Verzeichnis leeren, können Sie eine sicherere Umgebung erstellen, die weiterhin erwartungsgemäß funktioniert.By leaving default structures intact and emptying the membership of the highest privilege groups in the directory, you can create a more secure environment that still functions as expected.

    Screenshot, der die Berechtigungen für authentifizierte Benutzer anzeigt.

    Hinweis

    Wenn Sie die Überwachungs Richtlinien für die Objekte in der OE-Struktur, in der Sie diese Gruppe erstellt haben, noch nicht konfiguriert haben, sollten Sie die Überwachung so konfigurieren, dass diese Gruppe Änderungen protokolliert.If you have not already configured audit policies for the objects in the OU structure where you created this group, you should configure auditing to log changes this group.

  8. Sie haben die Konfiguration der Gruppe abgeschlossen, die verwendet wird, um die Verwaltungs Konten bei Bedarf zu überprüfen und die Konten einzuchecken, wenn ihre Aktivitäten abgeschlossen sind.You have completed configuration of the group that will be used to "check out" management accounts when they are needed and "check in" the accounts when their activities have been completed.

Erstellen der Verwaltungs KontenCreating the Management Accounts

Sie sollten mindestens ein Konto erstellen, das zum Verwalten der Mitgliedschaft privilegierter Gruppen in der Active Directory-Installation verwendet wird, vorzugsweise ein zweites Konto, das als Sicherungskopie dienen soll.You should create at least one account that will be used to manage the membership of privileged groups in your Active Directory installation, and preferably a second account to serve as a backup. Unabhängig davon, ob Sie die Verwaltungs Konten in einer einzelnen Domäne in der Gesamtstruktur erstellen und Ihnen Verwaltungsfunktionen für die geschützten Gruppen der Domänen gewähren oder ob Sie Verwaltungs Konten in jeder Domäne in der Gesamtstruktur implementieren möchten, sind die Prozeduren tatsächlich identisch.Whether you choose to create the management accounts in a single domain in the forest and grant them management capabilities for all domains' protected groups, or whether you choose to implement management accounts in each domain in the forest, the procedures are effectively the same.

Hinweis

Bei den Schritten in diesem Dokument wird davon ausgegangen, dass Sie noch keine rollenbasierten Zugriffs Steuerungen und privilegierte Identitätsverwaltung für Active Directory implementiert haben.The steps in this document assume that you have not yet implemented role-based access controls and privileged identity management for Active Directory. Daher müssen einige Prozeduren von einem Benutzer ausgeführt werden, dessen Konto Mitglied der Gruppe "Domänen-Admins" für die betreffende Domäne ist.Therefore, some procedures must be performed by a user whose account is a member of the Domain Admins group for the domain in question.

Wenn Sie ein Konto mit-Berechtigungen verwenden, können Sie sich bei einem Domänen Controller anmelden, um die Konfigurations Aktivitäten auszuführen.When you are using an account with DA privileges, you can log on to a domain controller to perform the configuration activities. Schritte, die keine da-Berechtigungen erfordern, können von Konten mit weniger Berechtigungen ausgeführt werden, die bei administrativen Arbeitsstationen angemeldet sind.Steps that do not require DA privileges can be performed by less-privileged accounts that are logged on to administrative workstations. Bildschirmaufnahmen, die Dialogfelder anzeigen, die an der helleren blauen Farbe Grenzen, repräsentieren Aktivitäten, die auf einem Domänen Controller ausgeführt werden können.Screen shots that show dialog boxes bordered in the lighter blue color represent activities that can be performed on a domain controller. Screenshots, die Dialogfelder in der dunkleren blauen Farbe anzeigen, stellen Aktivitäten dar, die auf administrativen Arbeitsstationen mit Konten mit eingeschränkten Berechtigungen ausgeführt werden können.Screen shots that show dialog boxes in the darker blue color represent activities that can be performed on administrative workstations with accounts that have limited privileges.

Führen Sie die folgenden Schritte aus, um die Verwaltungs Konten zu erstellen:To create the management accounts, perform the following steps:

  1. Melden Sie sich bei einem Domänen Controller mit einem Konto an, das Mitglied der Gruppe "da" der Domäne ist.Log on to a domain controller with an account that is a member of the domain's DA group.

  2. Starten Sie Active Directory Benutzer und Computer , und navigieren Sie zu der Organisationseinheit, in der Sie das Verwaltungskonto erstellen werden.Launch Active Directory Users and Computers and navigate to the OU where you will be creating the management account.

  3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, und klicken Sie dann auf neu undRight-click the OU and click New and click User.

  4. Geben Sie im Dialogfeld Neues Objekt-Benutzer die gewünschten Benennungs Informationen für das Konto ein, und klicken Sie auf weiter.In the New Object - User dialog box, enter your desired naming information for the account and click Next.

    Screenshot, der anzeigt, wo die Benennungs Informationen eingegeben werden.

  5. Geben Sie ein erstes Kennwort für das Benutzerkonto an, deaktivieren Sie Benutzer muss Kennwort bei der nächsten Anmeldung ändern, wählen Sie Benutzer kann Kennwort nicht ändern , Konto ist deaktiviert, und klicken Sie auf weiter.Provide an initial password for the user account, clear User must change password at next logon, select User cannot change password and Account is disabled, and click Next.

    Screenshot, der anzeigt, wo das anfängliche Kennwort bereitgestellt werden soll.

  6. Vergewissern Sie sich, dass die Konto Details richtig sind, und klicken Sie auf FertigVerify that the account details are correct and click Finish.

  7. Klicken Sie mit der rechten Maustaste auf das soeben erstellte Benutzerobjekt, und klicken Sie auf Eigenschaften.Right-click the user object you just created and click Properties.

  8. Klicken Sie auf die Registerkarte Konto.Click the Account tab.

  9. Wählen Sie im Feld Konto Optionen das Flag Konto ist vertraulich und kann nicht delegiert werden aus, wählen Sie das Konto unterstützt Kerberos AES 128 Bit Encryption und/oder das kennflag dieses Konto unterstützt Kerberos AES 256 encryption aus, und klicken Sie auf OK.In the Account Options field, select the Account is sensitive and cannot be delegated flag, select the This account supports Kerberos AES 128 bit encryption and/or the This account supports Kerberos AES 256 encryption flag, and click OK.

    Screenshot mit den Optionen, die Sie auswählen sollten.

    Hinweis

    Da dieses Konto, wie andere Konten, eine begrenzte, aber leistungsstarke Funktion haben, sollte das Konto nur auf sicheren administrativen Hosts verwendet werden.Because this account, like other accounts, will have a limited, but powerful function, the account should only be used on secure administrative hosts. Für alle sicheren administrativen Hosts in Ihrer Umgebung sollten Sie die Implementierung der Gruppenrichtlinie Einstellung Netzwerksicherheit: Konfigurieren von Verschlüsselungstypen, die für Kerberos zulässig sind, in Erwägung gezogen werden, um nur die sichersten Verschlüsselungstypen zuzulassen, die für sichere Hosts implementiert werden können.For all secure administrative hosts in your environment, you should consider implementing the Group Policy setting Network Security: Configure Encryption types allowed for Kerberos to allow only the most secure encryption types you can implement for secure hosts.

    Obwohl das Implementieren von sichereren Verschlüsselungstypen für die Hosts keine Angriffe auf Diebstahl von Anmelde Informationen durchführt, erfolgt die geeignete Verwendung und Konfiguration der sicheren Hosts.Although implementing more secure encryption types for the hosts does not mitigate credential theft attacks, the appropriate use and configuration of the secure hosts does. Das Festlegen stärkerer Verschlüsselungstypen für Hosts, die nur von privilegierten Konten verwendet werden, reduziert einfach die Gesamt Angriffsfläche der Computer.Setting stronger encryption types for hosts that are only used by privileged accounts simply reduces the overall attack surface of the computers.

    Weitere Informationen zum Konfigurieren von Verschlüsselungstypen für Systeme und Konten finden Sie unter Windows-Konfigurationen für den von Kerberos unterstützten Verschlüsselungstyp.For more information about configuring encryption types on systems and accounts, see Windows Configurations for Kerberos Supported Encryption Type.

    Diese Einstellungen werden nur auf Computern unterstützt, auf denen Windows Server 2012, Windows Server 2008 R2, Windows 8 oder Windows 7 ausgeführt wird.These settings are supported only on computers running Windows Server 2012, Windows Server 2008 R2, Windows 8, or Windows 7.

  10. Wählen Sie auf der Registerkarte Objekt die Option Objekt vor zufälligem Löschen schützen aus.On the Object tab, select Protect object from accidental deletion. Dadurch wird nicht nur verhindert, dass das Objekt gelöscht wird (selbst bei autorisierten Benutzern), sondern verhindert, dass es in eine andere Organisationseinheit in der AD DS Hierarchie verschoben wird, es sei denn, das Kontrollkästchen wird zuerst von einem Benutzer mit der Berechtigung zum Ändern des Attributs gelöscht.This will not only prevent the object from being deleted (even by authorized users), but will prevent it from being moved to a different OU in your AD DS hierarchy, unless the check box is first cleared by a user with permission to change the attribute.

    Screenshot, der die Option Objekt vor zufälligem Löschen schützen auf der Registerkarte "Objekt" anzeigt.

  11. Klicken Sie auf die Registerkarte Remote Steuerung .Click the Remote control tab.

  12. Deaktivieren Sie das Flag zum Aktivieren der Remote Steuerung .Clear the Enable remote control flag. Es sollte nie erforderlich sein, dass Supportmitarbeiter eine Verbindung zu den Sitzungen dieses Kontos herstellen, um Korrekturen zu implementieren.It should never be necessary for support staff to connect to this account's sessions to implement fixes.

    Screenshot, der die gelöschte Option Remote Steuerung aktivieren anzeigt

    Hinweis

    Jedes Objekt in Active Directory sollte über einen designierten IT-Besitzer und einen designierten Geschäfts Besitzer verfügen, wie in Planender Gefährdung beschrieben.Every object in Active Directory should have a designated IT owner and a designated business owner, as described in Planning for Compromise. Wenn Sie den Besitz von AD DS Objekten in Active Directory (im Gegensatz zu einer externen Datenbank) nachverfolgen, sollten Sie die entsprechenden Besitzer Informationen in den Eigenschaften dieses Objekts eingeben.If you are tracking ownership of AD DS objects in Active Directory (as opposed to an external database), you should enter appropriate ownership information in this object's properties.

    In diesem Fall ist der Geschäftsinhaber höchstwahrscheinlich eine IT-Abteilung, und es besteht kein Verbot für Geschäftsinhaber, die auch als IT-Besitzer fungieren.In this case, the business owner is most likely an IT division, andthere is no prohibition on business owners also being IT owners. Der Besitz von Objekten besteht darin, dass Sie Kontakte identifizieren können, wenn Änderungen an den Objekten vorgenommen werden müssen, vielleicht Jahre nach der anfänglichen Erstellung.The point of establishing ownership of objects is to allow you to identify contacts when changes need to be made to the objects, perhaps years from their initial creation.

  13. Klicken Sie auf die Registerkarte Organisation .Click on the Organization tab.

  14. Geben Sie alle Informationen ein, die für die AD DS-Objekt Standards erforderlich sind.Enter any information that is required in your AD DS object standards.

    Screenshot, der anzeigt, wo die Informationen eingegeben werden, die in ihren AD DS-Objekt Standards erforderlich sind

  15. Klicken Sie auf die Registerkarte Einwählen .Click on the Dial-in tab.

  16. Wählen Sie im Feld Netzwerk Zugriffsberechtigung die Option Zugriff verweigern aus. Dieses Konto sollte nie über eine Remote Verbindung eine Verbindung herstellen müssen.In the Network Access Permission field, select Deny access.This account should never need to connect over a remote connection.

    Screenshot, der die Option "Zugriff verweigern" anzeigt.

    Hinweis

    Es ist unwahrscheinlich, dass dieses Konto für die Anmeldung bei schreibgeschützten Domänen Controllern (Read-Only Domain Controllers, RODCs) in Ihrer Umgebung verwendet wird.It is unlikely that this account will be used to log on to read-only domain controllers (RODCs) in your environment. Sollte es jedoch erforderlich sein, dass sich das Konto bei einem RODC anmelden muss, sollten Sie dieses Konto der abgelehnten RODC-Kenn Wort Replikations Gruppe hinzufügen, damit das zugehörige Kennwort nicht auf dem RODC zwischengespeichert wird.However, should circumstance ever require the account to log on to an RODC, you should add this account to the Denied RODC Password Replication Group so that its password is not cached on the RODC.

    Obwohl das Kennwort des Kontos nach jeder Verwendung zurückgesetzt werden sollte und das Konto deaktiviert werden soll, hat die Implementierung dieser Einstellung keine Auswirkungen auf das Konto, und es kann hilfreich sein, wenn ein Administrator das Kennwort des Kontos zurücksetzen und deaktivieren muss.Although the account's password should be reset after each use and the account should be disabled, implementing this setting does not have a deleterious effect on the account, and it might help in situations in which an administrator forgets to reset the account's password and disable it.

  17. Klicken Sie auf die Registerkarte Mitglied von.Click the Member Of tab.

  18. Klicken Sie auf Hinzufügen.Click Add.

  19. Geben Sie im Dialogfeld Benutzer, Kontakte und Computer auswählen die Option verweigerte RODC-Kenn Wort Replikations Gruppe ein , und klicken Sie auf NamenType Denied RODC Password Replication Group in the Select Users, Contacts, Computers dialog box and click Check Names. Wenn der Name der Gruppe in der Objektauswahl unterstrichen ist, klicken Sie auf OK , und überprüfen Sie, ob das Konto nun Mitglied der beiden Gruppen ist, die im folgenden Screenshot angezeigt werden.When the name of the group is underlined in the object picker, click OK and verify that the account is now a member of the two groups displayed in the following screenshot. Fügen Sie das Konto nicht zu geschützten Gruppen hinzu.Do not add the account to any protected groups.

  20. Klicken Sie auf OK.Click OK.

    Screenshot, der die Schaltfläche "OK" anzeigt.

  21. Klicken Sie auf die Registerkarte Sicherheit und dann auf erweitert.Click the Security tab and click Advanced.

  22. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen auf Vererbung deaktivieren , kopieren Sie die geerbten Berechtigungen als explizite Berechtigungen, und klicken Sie auf Hinzufügen.In the Advanced Security Settings dialog box, click Disable inheritance and copy the inherited permissions as explicit permissions, and click Add.

    Screenshot, der das Dialogfeld zum ererben von Blöcken anzeigt.

  23. Klicken Sie im Dialogfeld Berechtigungs Eintrag für [Konto] auf Prinzipal auswählen , und fügen Sie die Gruppe hinzu, die Sie im vorherigen Verfahren erstellt haben.In the Permission Entry for [Account] dialog box, click Select a principal and add the group you created in the previous procedure. Scrollen Sie zum unteren Rand des Dialog Felds, und klicken Sie auf Alle löschen , um alle Standard Berechtigungen zu entfernen.Scroll to the bottom of the dialog box and click Clear all to remove all default permissions.

    Screenshot, der die Schaltfläche "Alle löschen" anzeigt.

  24. Scrollen Sie nach oben im Dialogfeld Berechtigungs Eintrag .Scroll to the top of the Permission Entry dialog box. Stellen Sie sicher, dass die Dropdown Liste Typ auf zulassen festgelegt ist, und wählen Sie in der Dropdown Liste gilt für nur dieses Objekt aus.Ensure that the Type drop-down list is set to Allow, and in the Applies to drop-down list, select This object only.

  25. Wählen Sie im Feld Berechtigungen die Option alle Eigenschaften lesen, Berechtigungen Lesen und Kennwort zurücksetzen aus.In the Permissions field, select Read all properties, Read permissions, and Reset password.

    Screenshot mit den Optionen "alle Eigenschaften lesen", "Leseberechtigungen" und "Kennwort zurücksetzen".

  26. Wählen Sie im Feld Eigenschaften die Option userAccountControl lesen aus, und schreiben Sie userAccountControl.In the Properties field, select Read userAccountControl and Write userAccountControl.

  27. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen erneut auf OK.Click OK, OK again in the Advanced Security Settings dialog box.

    Screenshot, der die Schaltfläche "OK" im Dialogfeld "Erweiterte Sicherheitseinstellungen" anzeigt.

    Hinweis

    Das userAccountControl -Attribut steuert mehrere Konto Konfigurationsoptionen.The userAccountControl attribute controls multiple account configuration options. Sie können keine Berechtigung erteilen, um nur einige der Konfigurationsoptionen zu ändern, wenn Sie dem Attribut Schreibberechtigungen erteilen.You cannot grant permission to change only some of the configuration options when you grant write permission to the attribute.

  28. Entfernen Sie im Feld Gruppen-oder Benutzernamen der Registerkarte Sicherheit alle Gruppen, die nicht für den Zugriff auf das Konto berechtigt sind.In the Group or user names field of the Security tab, remove any groups that should not be permitted to access or manage the account. Entfernen Sie keine Gruppen, die mit deny-ACEs konfiguriert wurden, z. b. die Gruppe Jeder und das selbst berechnete Konto (dieser ACE wurde festgelegt, wenn der Benutzer das Kenn Wort Kennwort nicht ändern während der Erstellung des Kontos aktiviert war.Do not remove any groups that have been configured with Deny ACEs, such as the Everyone group and the SELF computed account (that ACE was set when the user cannot change password flag was enabled during creation of the account. Entfernen Sie außerdem nicht die soeben hinzugefügte Gruppe, das System Konto oder die Gruppen, z. b. EA, da, BA oder die Windows-Autorisierungs Zugriffs Gruppe.Also do not remove the group you just added, the SYSTEM account, or groups such as EA, DA, BA, or the Windows Authorization Access Group.

    Screenshot, der den Gruppen-oder Benutzernamen Abschnitt auf der Registerkarte "Sicherheit" anzeigt.

  29. Klicken Sie auf erweitert , und überprüfen Sie, ob das Dialogfeld Erweiterte Sicherheitseinstellungen dem folgenden Screenshot ähnelt.Click Advanced and verify that the Advanced Security Settings dialog box looks similar to the following screenshot.

  30. Klicken Sie auf OK und dann erneut auf OK , um das Eigenschaften Dialogfeld des Kontos zu schließen.Click OK, and OK again to close the account's property dialog box.

    Screenshot, der das Dialogfeld "Erweiterte Sicherheitseinstellungen" anzeigt.

  31. Das erste Verwaltungskonto ist nun fertiggestellt.Setup of the first management account is now complete. Sie werden das Konto in einem späteren Verfahren testen.You will test the account in a later procedure.

Erstellen zusätzlicher Verwaltungs KontenCreating Additional Management Accounts

Sie können zusätzliche Verwaltungs Konten erstellen, indem Sie die vorherigen Schritte wiederholen, indem Sie das soeben erstellte Konto kopieren oder ein Skript erstellen, um Konten mit den gewünschten Konfigurationseinstellungen zu erstellen.You can create additional management accounts by repeating the previous steps, by copying the account you just created, or by creating a script to create accounts with your desired configuration settings. Beachten Sie jedoch Folgendes: Wenn Sie das soeben erstellte Konto kopieren, werden viele der angepassten Einstellungen und ACLs nicht in das neue Konto kopiert, und Sie müssen die meisten Konfigurationsschritte wiederholen.Note, however, that if you copy the account you just created, many of the customized settings and ACLs will not be copied to the new account and you will have to repeat most of the configuration steps.

Stattdessen können Sie eine Gruppe erstellen, der Sie Rechte zum Auffüllen und Auffüllen geschützter Gruppen delegieren, aber Sie müssen die Gruppe und die Konten, die Sie darin platzieren, sichern.You can instead create a group to which you delegate rights to populate and unpopulate protected groups, but you will need to secure the group and the accounts you place in it. Da in Ihrem Verzeichnis nur wenige Konten vorhanden sein sollten, denen die Verwaltung der Mitglieder geschützter Gruppen gewährt werden kann, ist das Erstellen einzelner Konten möglicherweise der einfachste Ansatz.Because there should be very few accounts in your directory that are granted the ability to manage the membership of protected groups, creating individual accounts might be the simplest approach.

Unabhängig davon, wie Sie eine Gruppe erstellen, in die Sie die Verwaltungs Konten platzieren, sollten Sie sicherstellen, dass jedes Konto wie zuvor beschrieben geschützt wird.Regardless of how you choose to create a group into which you place the management accounts, you should ensure that each account is secured as described earlier. Sie sollten auch die Implementierung von GPO-Einschränkungen in Erwägung gezogen, ähnlich wie in Anhang D: Sichern von Built-In Administrator Konten in Active Directorybeschrieben.You should also consider implementing GPO restrictions similar to those described in Appendix D: Securing Built-In Administrator Accounts in Active Directory.

Überwachen von Verwaltungs KontenAuditing Management Accounts

Sie sollten die Überwachung für das Konto so konfigurieren, dass mindestens alle Schreibvorgänge in das Konto protokolliert werden.You should configure auditing on the account to log, at minimum, all writes to the account. Auf diese Weise können Sie nicht nur die erfolgreiche Aktivierung des Kontos und das Zurücksetzen des Kennworts während der autorisierten Verwendung ermitteln, sondern auch Versuche von nicht autorisierten Benutzern, das Konto zu manipulieren.This will allow you to not only identify successful enabling of the account and resetting of its password during authorized uses, but to also identify attempts by unauthorized users to manipulate the account. Fehlerhafte Schreibvorgänge für das Konto sollten in Ihrem Siem-System (Security Information and Event Monitoring, Sicherheits-und Ereignisüberwachung) aufgezeichnet werden. Außerdem sollten Warnungen ausgegeben werden, die die Mitarbeiter informieren, die für die Untersuchung potenzieller Kompromisse verantwortlich sind.Failed writes on the account should be captured in your Security Information and Event Monitoring (SIEM) system (if applicable), and should trigger alerts that provide notification to the staff responsible for investigating potential compromises.

Siem-Lösungen übernehmen Ereignis Informationen aus beteiligten Sicherheitsquellen (z. b. Ereignisprotokolle, Anwendungsdaten, Netzwerkstreams, Antischadsoftware-Produkte und Quellen zur Erkennung von Eindring Versuchen), sortieren die Daten und versuchen, intelligente Ansichten und proaktive Aktionen zu erstellen.SIEM solutions take event information from involved security sources (for example, event logs, application data, network streams, antimalware products, and intrusion detection sources), collate the data, and try to make intelligent views and proactive actions. Es gibt viele kommerzielle Siem-Lösungen, und viele Unternehmen erstellen private Implementierungen.There are many commercial SIEM solutions, and many enterprises create private implementations. Eine gut entworfene und ordnungsgemäß implementierte Siem-Lösung kann die Sicherheitsüberwachung und die Reaktionsfähigkeit von Vorfällen erheblich verbessernA well designed and appropriately implemented SIEM can significantly enhance security monitoring and incident response capabilities. Die Funktionen und die Genauigkeit variieren jedoch sehr stark zwischen den Lösungen.However, capabilities and accuracy vary tremendously between solutions. Siems geht über den Rahmen dieses Artikels hinaus, aber die spezifischen Ereignis Empfehlungen sollten von jeder Siem-Implementierung berücksichtigt werden.SIEMs are beyond the scope of this paper, but the specific event recommendations contained should be considered by any SIEM implementer.

Weitere Informationen zu empfohlenen Überwachungs Konfigurationseinstellungen für Domänen Controller finden Sie unter Monitoring Active Directory for Anzeichen of Kompromittierung.For more information about recommended audit configuration settings for domain controllers, see Monitoring Active Directory for Signs of Compromise. Domänen Controller spezifische Konfigurationseinstellungen werden im Überwachungs Active Directory für Anzeichen einerGefährdung bereitgestellt.Domain controller-specific configuration settings are provided in Monitoring Active Directory for Signs of Compromise.

Aktivieren von Verwaltungs Konten zum Ändern der Mitgliedschaft geschützter GruppenEnabling Management Accounts to Modify the Membership of Protected Groups

In diesem Verfahren konfigurieren Sie die Berechtigungen für das AdminSDHolder-Objekt der Domäne, damit die neu erstellten Verwaltungs Konten die Mitgliedschaft geschützter Gruppen in der Domäne ändern können.In this procedure, you will configure permissions on the domain's AdminSDHolder object to allow the newly created management accounts to modify the membership of protected groups in the domain. Dieses Verfahren kann nicht über eine grafische Benutzeroberfläche (GUI) ausgeführt werden.This procedure cannot be performed via a graphical user interface (GUI).

Wie in Anhang C: geschützte Konten und Gruppen in Active Directoryerläutert, wird die ACL für das AdminSDHolder-Objekt einer Domäne beim Ausführen der SDPROP-Aufgabe effektiv in geschützte Objekte kopiert.As discussed in Appendix C: Protected Accounts and Groups in Active Directory, the ACL on a domain's AdminSDHolder object is effectively "copied" to protected objects when the SDProp task runs. Geschützte Gruppen und Konten erben nicht Ihre Berechtigungen vom AdminSDHolder-Objekt. Ihre Berechtigungen werden explizit so festgelegt, dass Sie mit den Berechtigungen im AdminSDHolder-Objekt übereinstimmen.Protected groups and accounts do not inherit their permissions from the AdminSDHolder object; their permissions are explicitly set to match those on the AdminSDHolder object. Wenn Sie also Berechtigungen für das AdminSDHolder-Objekt ändern, müssen Sie diese für Attribute ändern, die für den Typ des geschützten Objekts geeignet sind, das Sie als Ziel haben.Therefore, when you modify permissions on the AdminSDHolder object, you must modify them for attributes that are appropriate to the type of the protected object you are targeting.

In diesem Fall erteilen Sie die neu erstellten Verwaltungs Konten, damit Sie das Members-Attribut für Gruppen Objekte lesen und schreiben können.In this case, you will be granting the newly created management accounts to allow them to read and write the members attribute on group objects. Das AdminSDHolder-Objekt ist jedoch kein Gruppen Objekt, und Gruppen Attribute werden im grafischen ACL-Editor nicht verfügbar gemacht.However, the AdminSDHolder object is not a group object and group attributes are not exposed in the graphical ACL editor. Aus diesem Grund müssen Sie die Berechtigungs Änderungen über das Befehlszeilen-Hilfsprogramm DSACLS implementieren.It is for this reason that you will implement the permissions changes via the Dsacls command-line utility. Führen Sie die folgenden Schritte aus, um den (deaktivierten) Verwaltungs Konten Berechtigungen zum Ändern der Mitgliedschaft geschützter Gruppen zu erteilen:To grant the (disabled) management accounts permissions to modify the membership of protected groups, perform the following steps:

  1. Melden Sie sich bei einem Domänen Controller an, vorzugsweise bei dem Domänen Controller mit der PDC-Emulator-Rolle (PDCE) mit den Anmelde Informationen eines Benutzerkontos, das Mitglied der Gruppe "da" in der Domäne ist.Log on to a domain controller, preferably the domain controller holding the PDC Emulator (PDCE) role, with the credentials of a user account that has been made a member of the DA group in the domain.

    Screenshot, der anzeigt, wo die Anmelde Informationen für das Benutzerkonto eingegeben werden.

  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten, indem Sie mit der rechten Maustaste auf Eingabeaufforderung klicken und als Administrator ausführen klickenOpen an elevated command prompt by right-clicking Command Prompt and click Run as administrator.

    Screenshot, der die Menüoption "als Administrator ausführen" anzeigt.

  3. Wenn Sie aufgefordert werden, die Höhe zu genehmigen, klicken Sie auf Ja.When prompted to approve the elevation, click Yes.

    Screenshot, der anzeigt, wo ja ausgewählt wird, um die Rechte Erweiterung zu genehmigen.

    Hinweis

    Weitere Informationen über die Rechte Erweiterung und die Benutzerkontensteuerung (User Account Control, UAC) in Windows finden Sie auf der TechNet-Website unter UAC-Prozesse und-Interaktionen .For more information about elevation and user account control (UAC) in Windows, see UAC Processes and Interactions on the TechNet website.

  4. Geben Sie an der Eingabeaufforderung (durch Ihre domänenspezifischen Informationen) DSACLS [Distinguished Name des AdminSDHolder-Objekts in Ihrer Domäne]/G [Administrator Konto-UPN]: rpwp; Mitglied ein.At the Command Prompt, type (substituting your domain-specific information) Dsacls [distinguished name of the AdminSDHolder object in your domain] /G [management account UPN]:RPWP;member.

    Screenshot, in dem die Eingabeaufforderung angezeigt wird.

    Der vorherige Befehl (bei dem die Groß-/Kleinschreibung nicht beachtet wird) funktioniert wie folgt:The previous command (which is not case-sensitive) works as follows:

    • DSACLS legt ACEs in Verzeichnis Objekten fest oder zeigt diese an.Dsacls sets or displays ACEs on directory objects

    • CN = AdminSDHolder, CN = System, DC = tailspintoys, DC = msft identifiziert das zu ändernde Objekt.CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft identifies the object to be modified

    • /G gibt an, dass ein Grant-ACE konfiguriert wird./G indicates that a grant ACE is being configured

    • PIM001@tailspintoys.msft der Benutzer Prinzipal Name (User Principal Name, UPN) des Sicherheits Prinzipals, dem die ACEs erteilt werden.PIM001@tailspintoys.msft is the User Principal Name (UPN) of the security principal to which the ACEs will be granted

    • Rpwp erteilt Berechtigungen für Lese-und Schreib EigenschaftenRPWP grants read property and write property permissions

    • Member ist der Name der Eigenschaft (Attribut), für die die Berechtigungen festgelegt werden.Member is the name of the property (attribute) on which the permissions will be set

    Weitere Informationen zur Verwendung von DSACLS erhalten Sie, wenn Sie an einer Eingabeaufforderung DSACLS ohne Parameter eingeben.For more information about use of Dsacls, type Dsacls without any parameters at a command prompt.

    Wenn Sie mehrere Verwaltungs Konten für die Domäne erstellt haben, sollten Sie für jedes Konto den DSACLS-Befehl ausführen.If you have created multiple management accounts for the domain, you should run the Dsacls command for each account. Wenn Sie die ACL-Konfiguration für das AdminSDHolder-Objekt abgeschlossen haben, sollten Sie die Ausführung von SDPROP erzwingen oder warten, bis die geplante Ausführung abgeschlossen ist.When you have completed the ACL configuration on the AdminSDHolder object, you should force SDProp to run, or wait until its scheduled run completes. Informationen zum Erzwingen der Ausführung von SDPROP finden Sie unter "Manuelles Ausführen von SDPROP" in Anhang C: geschützte Konten und Gruppen in Active Directory.For information about forcing SDProp to run, see "Running SDProp Manually" in Appendix C: Protected Accounts and Groups in Active Directory.

    Wenn SDPROP ausgeführt wurde, können Sie überprüfen, ob die Änderungen, die Sie am AdminSDHolder-Objekt vorgenommen haben, auf geschützte Gruppen in der Domäne angewendet wurden.When SDProp has run, you can verify that the changes you made to the AdminSDHolder object have been applied to protected groups in the domain. Sie können dies nicht überprüfen, indem Sie die ACL für das AdminSDHolder-Objekt aus den oben beschriebenen Gründen anzeigen, aber Sie können überprüfen, ob die Berechtigungen angewendet wurden, indem Sie die ACLs für geschützte Gruppen anzeigen.You cannot verify this by viewing the ACL on the AdminSDHolder object for the reasons previously described, but you can verify that the permissions have been applied by viewing the ACLs on protected groups.

  5. Vergewissern Sie sich unter Active Directory Benutzer und Computer, dass Sie Erweiterte Features aktiviert haben.In Active Directory Users and Computers, verify that you have enabled Advanced Features. Klicken Sie hierzu auf anzeigen, suchen Sie die Gruppe Domänen-Admins , klicken Sie mit der rechten Maustaste auf die Gruppe, und klicken Sie auf Eigenschaften.To do so, click View, locate the Domain Admins group, right-click the group and click Properties.

  6. Klicken Sie auf die Registerkarte Sicherheit und dann auf erweitert , um das Dialogfeld Erweiterte Sicherheitseinstellungen für Domänen-Admins zu öffnen.Click the Security tab and click Advanced to open the Advanced Security Settings for Domain Admins dialog box.

    Screenshot, der zeigt, wie das Dialogfeld Erweiterte Sicherheitseinstellungen für Domänen-Admins geöffnet wird.

  7. Wählen Sie ACE für das Verwaltungskonto zulassen aus , und klicken Sie auf Bearbeiten.Select Allow ACE for the management account and click Edit. Stellen Sie sicher, dass dem Konto nur die Berechtigungen Mitglieder lesen und Mitglieder schreiben für die Gruppe da erteilt wurden, und klicken Sie auf OK.Verify that the account has been granted only Read Members and Write Members permissions on the DA group, and click OK.

  8. Klicken Sie im Dialogfeld Erweiterte Sicherheitseinstellungen auf OK , und klicken Sie erneut auf OK , um das Eigenschaften Dialogfeld für die Gruppe da zu schließen.Click OK in the Advanced Security Settings dialog box, and click OK again to close the property dialog box for the DA group.

    Screenshot, der zeigt, wie Sie das Eigenschaften Dialogfeld schließen.

  9. Sie können die vorherigen Schritte für andere geschützte Gruppen in der Domäne wiederholen. die Berechtigungen sollten für alle geschützten Gruppen identisch sein.You can repeat the previous steps for other protected groups in the domain; the permissions should be the same for all protected groups. Sie haben nun die Erstellung und Konfiguration der Verwaltungs Konten für die geschützten Gruppen in dieser Domäne abgeschlossen.You have now completed creation and configuration of the management accounts for the protected groups in this domain.

    Hinweis

    Jedes Konto, das über die Berechtigung zum Schreiben der Mitgliedschaft einer Gruppe in Active Directory verfügt, kann sich auch selbst zur Gruppe hinzufügen.Any account that has permission to write membership of a group in Active Directory can also add itself to the group. Dieses Verhalten ist Entwurfs bedingt und kann nicht deaktiviert werden.This behavior is by design and cannot be disabled. Aus diesem Grund sollten Sie die Verwaltungs Konten immer deaktiviert lassen, wenn Sie nicht verwendet werden, und sollten die Konten genau überwachen, wenn Sie deaktiviert sind und wenn Sie verwendet werden.For this reason, you should always keep management accounts disabled when not in use, and should closely monitor the accounts when they're disabled and when they're in use.

Überprüfen der Konfigurationseinstellungen für Gruppen und KontenVerifying Group and Account Configuration Settings

Nachdem Sie nun Verwaltungs Konten erstellt und konfiguriert haben, mit denen die Mitgliedschaft geschützter Gruppen in der Domäne geändert werden kann (einschließlich der am stärksten privilegierten EA-, da-und BA-Gruppen), sollten Sie überprüfen, ob die Konten und deren Verwaltungsgruppe ordnungsgemäß erstellt wurden.Now that you have created and configured management accounts that can modify the membership of protected groups in the domain (which includes the most highly privileged EA, DA, and BA groups), you should verify that the accounts and their management group have been created properly. Die Überprüfung besteht aus diesen allgemeinen Aufgaben:Verification consists of these general tasks:

  1. Testen Sie die Gruppe, die Verwaltungs Konten aktivieren und deaktivieren kann, um zu überprüfen, ob Mitglieder der Gruppe die Konten aktivieren und deaktivieren und ihre Kenn Wörter zurücksetzen können, aber keine anderen administrativen Aktivitäten auf den Verwaltungs Konten ausführen können.Test the group that can enable and disable management accounts to verify that members of the group can enable and disable the accounts and reset their passwords, but cannot perform other administrative activities on the management accounts.

  2. Testen Sie die Verwaltungs Konten, um sicherzustellen, dass Sie Mitglieder zu geschützten Gruppen in der Domäne hinzufügen und daraus entfernen können, aber keine anderen Eigenschaften geschützter Konten und Gruppen ändern können.Test the management accounts to verify that they can add and remove members to protected groups in the domain, but cannot change any other properties of protected accounts and groups.

Testen Sie die Gruppe, die Verwaltungs Konten aktivieren und deaktivieren soll.Test the Group that Will Enable and Disable Management Accounts
  1. Wenn Sie das Aktivieren eines Verwaltungs Kontos und das Zurücksetzen des Kennworts testen möchten, melden Sie sich bei einer sicheren administrativen Arbeitsstation mit einem Konto an, das Mitglied der Gruppe ist, die Sie in Anhang I: Erstellen von Verwaltungs Konten für geschützte Konten und Gruppen in Active Directoryerstellt haben.To test enabling a management account and resetting its password, log on to a secure administrative workstation with an account that is a member of the group you created in Appendix I: Creating Management Accounts for Protected Accounts and Groups in Active Directory.

    Screenshot, der zeigt, wie Sie sich bei dem Konto anmelden, das Mitglied der Gruppe ist, die Sie erstellt haben.

  2. Öffnen Sie Active Directory Benutzer und Computer, klicken Sie mit der rechten Maustaste auf das Verwaltungskonto, und klicken Sie auf Konto aktivieren.Open Active Directory Users and Computers, right-click the management account, and click Enable Account.

    Screenshot, der die Menüoption "Konto aktivieren" hervorhebt

  3. Es sollte ein Dialogfeld angezeigt werden, in dem bestätigt wird, dass das Konto aktiviert wurde.A dialog box should display, confirming that the account has been enabled.

    Screenshot, der zeigt, dass das Konto aktiviert wurde.

  4. Legen Sie als nächstes das Kennwort für das Verwaltungskonto zurück.Next, reset the password on the management account. Klicken Sie hierzu mit der rechten Maustaste erneut auf das Konto, und klicken Sie dann auf Kennwort zurücksetzen.To do so, right-click the account again and click Reset Password.

    Screenshot, der die Menüoption "Kennwort zurücksetzen" hervorhebt

  5. Geben Sie in die Felder Neues Kennwort und Kennwort bestätigen ein neues Kennwort für das Konto ein, und klicken Sie auf OK.Type a new password for the account in the New password and Confirm password fields, and click OK.

    Screenshot, der anzeigt, wo das neue Kennwort einzugeben ist.

  6. Es wird ein Dialogfeld angezeigt, in dem bestätigt wird, dass das Kennwort für das Konto zurückgesetzt wurde.A dialog box should appear, confirming that the password for the account has been reset.

    Screenshot, der die Meldung anzeigt, dass das Kennwort für das Konto zurückgesetzt wurde.

  7. Versuchen Sie jetzt, zusätzliche Eigenschaften des Verwaltungs Kontos zu ändern.Now attempt to modify additional properties of the management account. Klicken Sie mit der rechten Maustaste auf das Konto, und klicken Sie auf Eigenschaften und auf die Registerkarte Remote Steuerung .Right-click the account and click Properties, and click the Remote control tab.

  8. Wählen Sie Remote Steuerung aktivieren und dann übernehmen aus.Select Enable remote control and click Apply. Der Vorgang sollte fehlschlagen, und die Fehlermeldung " Zugriff verweigert " sollte angezeigt werden.The operation should fail and an Access Denied error message should display.

    Screenshot, der den Fehler "Zugriff verweigert" anzeigt.

  9. Klicken Sie auf die Registerkarte Konto für das Konto, und versuchen Sie, den Namen des Kontos, die Anmeldezeiten oder die Anmelde Arbeitsstationen zu ändern.Click the Account tab for the account and attempt to change the account's name, logon hours, or logon workstations. Alle sollten fehlschlagen, und Konto Optionen, die nicht durch das userAccountControl -Attribut gesteuert werden, sollten abgeblendet und nicht zur Änderung verfügbar sein.All should fail, and account options that are not controlled by the userAccountControl attribute should be grayed out and unavailable for modification.

    Screenshot, der die Registerkarte "Konto" anzeigt.

  10. Versuchen Sie, die Verwaltungsgruppe einer geschützten Gruppe, z. b. der Gruppe "da", hinzuzufügen.Attempt to add the management group to a protected group such as the DA group. Wenn Sie auf OK klicken, wird eine Meldung angezeigt, in der Sie darüber informiert werden, dass Sie nicht über die Berechtigung zum Ändern der Gruppe verfügen.When you click OK, a message should appear, informing you that you do not have permissions to modify the group.

    Screenshot, in dem die Meldung angezeigt wird, dass Sie nicht über die Berechtigung zum Ändern der Gruppe verfügen.

  11. Führen Sie nach Bedarf weitere Tests durch, um zu überprüfen, ob Sie mit Ausnahme von userAccountControl -Einstellungen und Zurücksetzen von Kenn Wörtern eine Konfiguration für das VerwaltungskontoPerform additional tests as required to verify that you cannot configure anything on the management account except userAccountControl settings and password resets.

    Hinweis

    Das userAccountControl -Attribut steuert mehrere Konto Konfigurationsoptionen.The userAccountControl attribute controls multiple account configuration options. Sie können keine Berechtigung erteilen, um nur einige der Konfigurationsoptionen zu ändern, wenn Sie dem Attribut Schreibberechtigungen erteilen.You cannot grant permission to change only some of the configuration options when you grant write permission to the attribute.

Testen der Verwaltungs KontenTest the Management Accounts

Nachdem Sie ein oder mehrere Konten aktiviert haben, die die Mitgliedschaft geschützter Gruppen ändern können, können Sie die Konten testen, um sicherzustellen, dass Sie die geschützte Gruppenmitgliedschaft ändern, aber keine anderen Änderungen an geschützten Konten und Gruppen ausführen können.Now that you have enabled one or more accounts that can change the membership of protected groups, you can test the accounts to ensure that they can modify protected group membership, but cannot perform other modifications on protected accounts and groups.

  1. Melden Sie sich als erstes Verwaltungskonto bei einem sicheren administrativen Host an.Log on to a secure administrative host as the first management account.

    Screenshot, der zeigt, wie Sie sich bei einem sicheren administrativen Host anmelden.

  2. Starten Sie Active Directory Benutzer und Computer , und suchen Sie nach der Gruppe Domänen-Admins.Launch Active Directory Users and Computers and locate the Domain Admins group.

  3. Klicken Sie mit der rechten Maustaste auf die Gruppe Domänen-Admins , und klicken SieRight-click the Domain Admins group and click Properties.

    Screenshot: Hervorhebung der Menüoption „Eigenschaften“

  4. Klicken Sie in den Eigenschaften der Domänen Administratoren auf die Registerkarte Mitglieder , und Klicken Sie auf hinzufügen.In the Domain Admins Properties, click the Members tab and click Add. Geben Sie den Namen eines Kontos ein, dem temporäre Domänen-Admins-Berechtigungen erteilt werden, und klicken Sie auf Namen überprüfen.Enter the name of an account that will be given temporary Domain Admins privileges and click Check Names. Wenn der Name des Kontos unterstrichen ist, klicken Sie auf OK , um zur Registerkarte Mitglieder zurückzukehren.When the name of the account is underlined, click OK to return to the Members tab.

    Screenshot, der anzeigt, wo der Name des Kontos hinzugefügt wird, dem temporäre Domänen-Admins-Berechtigungen zugewiesen werden.

  5. Klicken Sie im Dialogfeld Eigenschaften von Domänen-Admins auf der Registerkarte Mitglieder auf anwenden.On the Members tab for the Domain Admins Properties dialog box, click Apply. Nachdem Sie auf " anwenden" geklickt haben, sollte das Konto Mitglied der Gruppe "da" bleiben, und Sie sollten keine Fehlermeldungen erhalten.After clicking Apply, the account should stay a member of the DA group and you should receive no error messages.

    Screenshot, der die Registerkarte "Mitglieder" im Dialogfeld "Eigenschaften von Domänen-Admins" anzeigt

  6. Klicken Sie im Dialogfeld Eigenschaften von Domänen-Admins auf die Registerkarte verwaltet von , und vergewissern Sie sich, dass Sie keinen Text in Felder eingeben können und alle Schaltflächen ausgegraut sind.Click the Managed By tab in the Domain Admins Properties dialog box and verify that you cannot enter text in any fields and all buttons are grayed out.

    Screenshot, der die Registerkarte "verwaltet von" anzeigt.

  7. Klicken Sie im Dialogfeld Eigenschaften von Domänen-Admins auf die Registerkarte Allgemein , und vergewissern Sie sich, dass Sie die Informationen zu dieser Registerkarte nicht ändern können.Click the General tab in the Domain Admins Properties dialog box and verify that you cannot modify any of the information about that tab.

    Erstellen von Verwaltungs Konten

  8. Wiederholen Sie diese Schritte für weitere geschützte Gruppen nach Bedarf.Repeat these steps for additional protected groups as needed. Melden Sie sich nach Abschluss des Vorgangs an einem sicheren administrativen Host mit einem Konto an, das Mitglied der Gruppe ist, die Sie zum Aktivieren und Deaktivieren der Verwaltungs Konten erstellt haben.When you have finished, log on to a secure administrative host with an account that is a member of the group you created to enable and disable the management accounts. Setzen Sie dann das Kennwort des soeben getesteten Verwaltungs Kontos zurück, und deaktivieren Sie das Konto.Then reset the password on the management account you just tested and disable the account. Sie haben die Einrichtung der Verwaltungs Konten und der Gruppe abgeschlossen, die für das Aktivieren und Deaktivieren der Konten zuständig ist.You have completed setup of the management accounts and the group that will be responsible for enabling and disabling the accounts.