Bundesamt für Sicherheit in der Informationstechnik

M 2.230 Planung der Active Directory-Administration

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Das Active Directory besteht aus verschiedenen Objekten, die baumartig organisiert sind. Jedes Objekt besteht aus bestimmten Attributen, die die Objektinformationen speichern. Durch Objekte geschieht die Verwaltung eines Windows-Systems ab Version 2000, die durch einen berechtigten Administrator erfolgen muss. Für alle Active Directory Objekte können Berechtigungen vergeben werden, die den Zugriff auf die Objekte steuern. Damit kann festgelegt werden, welche Objekte von welchen Benutzern in einer bestimmten Art und Weise verändert werden können, wie beispielsweise das Anlegen von Benutzern oder das Zurücksetzen von Benutzerpasswörtern.

Bei einer Standardinstallation der Serverbetriebssysteme Windows Server 2000 und Windows 2003 Server (im Folgenden unter dem Begriff Windows-Server zusammengefasst) besitzen nur Administratoren das Recht, Veränderungen an Objekten vorzunehmen und damit eine Domäne zu verwalten. Benutzer besitzen in der Regel maximal Leserecht.

Generell gilt auch unter Windows-Server, dass an der Domänengrenze auch die administrative Macht der Administratoren der Domäne endet. Lediglich die Mitglieder der Gruppe Organisations-Admins besitzen in jeder Domäne eines Forests Vollzugriff auf alle AD -Objekte, und zwar unabhängig von den für diese Objekte eingestellten Zugriffsrechten. Standardmäßig sind dies die Mitglieder der Administratorengruppe der Forest-Root-Domain ( FRD ).

In großen Domänen empfiehlt sich die Delegation administrativer Aufgaben, so dass die administrative Last auf mehrere Administratoren verteilt ist oder auch, unter Umständen zusätzlich, eine Rollentrennung umgesetzt werden kann. Die Delegation administrativer Aufgaben erfolgt im Active Directory durch die Vergabe von entsprechenden Zugriffsrechten auf Active Directory-Objekte für die jeweiligen Adminstratorengruppen. Dabei erlaubt die Active Directory-Rechtestruktur eine feingranulare Vergabe von Rechten. Auf diese Weise kann z. B. einem Administrator erlaubt werden, Benutzerkonten anzulegen und Benutzerpasswörter zurückzusetzen, jedoch nicht Benutzerkonten zu löschen oder in andere Organizational Units (OU, Organisationseinheiten) zu verschieben. Um die Vergabe gleichförmiger Rechte innerhalb eines kompletten Teilbaums zu vereinfachen, besteht zusätzlich die Möglichkeit, Rechte eines Objektes an Objekte im Unterbaum zu vererben. Da die Übernahme von vererbten Rechten durch bestimmte Objekte im Unterbaum unter Umständen nicht gewünscht ist, lässt sich die Übernahme für Objekte auch blockieren, so dass sich hier durchaus komplexe Szenarien für die Verteilung von Berechtigungen ergeben können (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung ).

Aus Sicherheitssicht ergeben sich folgende Aspekte, die bei der Planung der Active Directory-Administration zu berücksichtigen sind:

  • Wird Delegation eingesetzt, so sollten nur die unbedingt notwendigen Rechte vergeben werden, die zur Ausübung der delegierten administrativen Tätigkeiten erforderlich sind.
  • Das Delegationsmodell und die daraus resultierenden Rechtezuordnungen müssen dokumentiert werden.
  • Die administrativen Tätigkeiten sollten so delegiert werden, dass sich möglichst keine Überschneidungen ergeben. Ansonsten können durch zwei Administratoren sich widersprechende Veränderungen durchgeführt werden. Dies führt dann zu Replikationskonflikten, die von Windows-Server automatisch aufgelöst werden, so dass sich eine der Änderungen auf jeden Fall durchsetzt. Es gibt jedoch für diesen Fall keine Warnungen. Es empfiehlt sich daher, das Administrationsmodell so zu entwerfen, dass möglichst überschneidungsfreie Zuständigkeiten existieren. Auf diese Weise kann die Gefahr von Replikationskonflikten verringert werden. Sind Replikationskonflikte zu erwarten oder bereits aufgetreten, so sollte in regelmäßigen Abständen oder nach wichtigen Änderungen eine manuelle Überprüfung erfolgen, ob sich immer die korrekten Werte durchgesetzt haben. Ob das Führen einer Evidenzdatenbank mit den Active-Directory-Soll-Daten unter Umständen organisatorisch sinnvoll ist, muss im Einzelfall entschieden werden.
  • Wird die Verwaltung des Active Directory delegiert, so wird dies durch die Vergabe von entsprechenden Zugriffsrechten innerhalb des Active Directory erreicht. Dabei wird in der Regel der Vererbungsmechanismus eingesetzt, um Berechtigungen auf Objekte in Teilbäumen zu verwalten. Komplexe Szenarien mit Delegation und damit Rechtevererbung sollten jedoch unbedingt vermieden werden, da sonst leicht Sicherheitslücken entstehen können. Beispielsweise kann der Fall eintreten, dass ein Benutzer zu wenig oder zu viele Rechte hat.
  • Es muss ein Konzept für die Mitgliedschaft in den verschiedenen administrativen Gruppen entworfen werden. Dabei sind vor allem die Bedingungen und Verfahren zu definieren, die festlegen, ob, wann und wie lange ein Benutzer oder eine Benutzergruppe in eine administrative Gruppe aufgenommen wird. Es muss insbesondere dafür Sorge getragen werden, die Mitgliedschaft in der Gruppe der Organisations-Admins restriktiv zu handhaben und zu kontrollieren. Falls es der organisatorische Ablauf zulässt, kann erwogen werden, alle Mitglieder in dieser Gruppe nach Aufbau der Domänenstruktur zu entfernen und nur bei Bedarf und unter Einhaltung des Vier-Augen-Prinzips entsprechende Mitglieder hinzuzufügen. Es muss jedoch berücksichtigt werden, dass ein Mitglied der Gruppe der Organisations-Admins immer dann benötigt wird, wenn eine neue Domäne im Forest angelegt werden soll.
  • Die Administratoren sind über die Active Directory-Struktur und die organisatorischen Abläufe im Rahmen ihrer administrativen Tätigkeit zu informieren und entsprechend zu schulen, um zu verhindern, dass nicht-konforme Änderungen zu Sicherheitslücken führen. Beispielsweise kann es erforderlich sein, beim Anlegen eines neuen Benutzers diesen in entsprechende Sicherheitsgruppen aufzunehmen oder sogar zusätzlich eine neue Sicherheitsgruppe mit einem speziellen Namen anzulegen. Wird dies vergessen, so erhalten Benutzer unter Umständen fehlerhafte Berechtigungen.
  • Für große Domänen sollte darüber nachgedacht werden, deren Verwaltung mit geeigneten Werkzeugen zu unterstützen. Es gibt verschiedene kommerzielle und auch frei verfügbare Werkzeuge, die die Active Directory-Verwaltung erleichtern. Es sollte überlegt werden, diese einzusetzen. Werden solche Werkzeuge verwendet, so muss sichergestellt werden, dass die Active Directory-Verwaltung ausschließlich über diese Werkzeuge erfolgt.

Prüffragen:

  • In großen Domänen: Sind die administrativen Aufgaben im Active Directory nach einem Delegationsmodell überschneidungsfrei verteilt?

  • Sind alle administrativen Aufgabenbereiche und Berechtigungen dokumentiert?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK