Anhang F: Schützen von Domänenadministratorgruppen in Active Directory

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Anhang F: Schützen von Domänenadministratorgruppen in Active Directory

Wie bei der Gruppe „Organisations-Admins“ sollte die Mitgliedschaft in der Gruppe „Domänen-Admins“ nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. In der Gruppe „Domänen-Admins“ sollten keine täglich genutzten Benutzerkonten enthalten sein, mit Ausnahme des integrierten Administratorkontos für die Domäne, wenn es wie in Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben abgesichert wurde.

Domänenadministratoren sind standardmäßig Mitglieder der lokalen Administratorengruppen auf allen Mitgliedsservern und Arbeitsstationen in ihren jeweiligen Domänen. Diese Standardschachtelung sollte aus Gründen der Unterstützungsfähigkeit und der Notfallwiederherstellung nicht geändert werden. Wenn Domänenadministratoren aus den lokalen Administratorengruppen auf den Mitgliedsservern entfernt wurden, sollte die Gruppe auf jedem Mitgliedsserver und jeder Arbeitsstation in der Domäne zur Administratorengruppe hinzugefügt werden. Die Gruppe der Domänenadministratoren jeder Domäne sollte wie in der folgenden Schrittanleitung beschrieben geschützt werden.

Gehen Sie für die Gruppe der Domänenadministratoren in jeder Domäne der Gesamtstruktur wie folgt vor:

  1. Entfernen Sie alle Mitglieder aus der Gruppe, ggf. mit Ausnahme des integrierten Administratorkontos für die Domäne, sofern es wie in Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben abgesichert wurde.

  2. In Gruppenrichtlinienobjekten (GPOs), die mit Organisationseinheiten (OEs) verknüpft sind, die Mitgliedsserver und Arbeitsstationen in jeder Domäne enthalten, sollte die Gruppe der Domänenadministratoren den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechtezuweisung hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

    • Lokal anmelden verweigern

    • Anmelden über Remotedesktopdienste verweigern

  3. Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an Eigenschaften oder Mitgliedschaften der Gruppe „Domänen-Admins“ vorgenommen werden.

Schrittanleitung zum Entfernen aller Mitglieder aus der Gruppe „Domänen-Admins“

  1. Klicken Sie unter Server-Manager auf Tools und anschließend auf Active Directory-Benutzer und -Computer.

  2. Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe „Domänen-Admins“ zu entfernen:

    1. Doppelklicken Sie auf die Gruppe Domänen-Admins, und klicken Sie auf die Registerkarte Mitglieder.

      Screenshot that shows the Members tab for removing all members from the Domain Admins Group.

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf Entfernen, dann auf Ja und anschließend auf OK.

  3. Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe „Domänen-Admins“ entfernt wurden.

Schrittanleitung zum Schützen von Domänenadministratoren in Active Directory

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot that shows where to select New so you can secure Domain Admins in Active Directory.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie auf OK. (Hierbei ist <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts.)

    Screenshot that shows where to name the GPO so you can secure Domain Admins in Active Directory.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot that shows where to navigate so you can select User Rights Admin to secure Domain Admins in Active Directory.

  7. Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ nicht über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing members servers and workstations over the network.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte so, dass Mitgliedern der Gruppe „Domänen-Admins“ die Anmeldung als Batchauftrag verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a batch job.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte so, dass Mitgliedern der Gruppe „Domänen-Admins“ die Anmeldung als Dienst verweigert wird:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the DA group from logging on as a service.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ sich nicht lokal bei Mitgliedsservern und Arbeitsstationen anmelden können:

    1. Doppelklicken Sie auf Lokal anmelden verweigern, und wählen Sie dann Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from logging on locally to member servers and workstations.

    4. Klicken Sie auf OK und dann erneut auf OK.

  11. Konfigurieren Sie die Benutzerrechte so, dass Mitglieder der Gruppe „Domänen-Admins“ nicht über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Domänen-Admins ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot that shows how to verify that you've configured the user rights to prevent members of the Domain Admins group from accessing member servers and workstations via Remote Desktop Services

    4. Klicken Sie auf OK und dann erneut auf OK.

  12. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  13. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot that shows the Link an existing GPO menu option when you right-click the OU that the GPO will be applied to.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot that shows where to select the GPO you just created while you're linking the GPO to the member server.

    4. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

      Wichtig

      Bei der Verwendung von Sprungbrettservern zum Verwalten von Domänencontrollern und Active Directory müssen Sie sicherstellen, dass sich die Sprungbrettserver in einer Organisationseinheit befinden, mit der diese GPOs nicht verknüpft sind.

Überprüfungsschritte

Überprüfen der GPO-Einstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.

  1. Melden Sie sich lokal mit einem Konto an, das Mitglied der Gruppe „Domänen-Admins“ ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Klicken Sie bei Aufforderung zur Genehmigung der Rechteerweiterung auf Ja.

    Screenshot that shows where to approve the elevation while verifying the Deny access to this computer network GPO settings.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Servername>\c$ ein, wobei <Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot enthält die Fehlermeldung, die angezeigt werden sollte.

    Screenshot that shows the error message that should appear while you're attempting to accsss the member server.

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname den Namen <Dateiname>.bat ein (wobei <Dateiname> für den Namen der neuen Batchdatei steht).

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Auf Computern mit Windows 8 geben Sie im Feld Suchen den Begriff Aufgaben planen ein und klicken auf Aufgaben planen.

  3. Klicken Sie in der Menüleiste der Aufgabenplanung auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen einen Wert für <Aufgabenname > ein (hierbei steht <Aufgabenname > für den Namen der neuen Aufgabe).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Wählen Sie im Feld Aktion die Option Programm starten aus.

  7. Klicken Sie unter Programm/Skript auf Durchsuchen, wählen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei aus, und klicken Sie auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie unter Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Domänen-Admins“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und dann Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.

  15. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

  16. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot that shows the error that should occur after you enter the credentials.

Überprüfen der GPO-Einstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf Durchsuchen, geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Domänen-Admins“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  8. Geben Sie unter Kennwort und Kennwort bestätigen das Kennwort für das ausgewählte Konto ein, und klicken Sie auf OK.

  9. Klicken Sie noch dreimal auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot that shows the dialog box that appears after the service is restarted.

Zurücksetzen von Änderungen am Dienst „Druckwarteschlange“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als das Konto Lokales System aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellung „Lokal anmelden verweigern“

  1. Versuchen Sie, sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation anzumelden, die von den GPO-Änderungen betroffen sind. Verwenden Sie dazu ein Konto, das Mitglied der Gruppe „Domänen-Admins“ ist. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    secure domain admin groups

Überprüfen der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern“

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Remotedesktopverbindung ein, und klicken Sie auf Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie auf Verbinden. (Sie können anstelle des Computernamens auch die IP-Adresse angeben.)

  4. Geben Sie bei Aufforderung die Anmeldeinformationen für ein Konto ein, das Mitglied der Gruppe „Domänen-Admins“ ist.

  5. Es sollte ein Dialogfeld ähnlich dem folgenden angezeigt werden.

    Screenshot that shows the message that indicates the sign-in method you're using isn't allowed.