Bundesamt für Sicherheit in der Informationstechnik

M 2.411 Trennung der Verwaltung von Diensten und Daten eines Active Directory

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Die administrativen Tätigkeiten für Windows-Server-Betriebssysteme können grundsätzlich in die zwei Rollen "Diensteverwaltung" und "Datenverwaltung" mit unterschiedlichen Verantwortungsbereichen unterteilt werden.

Unter der "Diensteverwaltung" wird die Betreuung des Active-Directory-Dienstes selbst verstanden. Diensteadministratoren verwalten die Domänen-Controller, z. B. Einspielen von Updates auf Betriebssystemebene, und die Konfiguration des Active Directory, beispielsweise verzeichnisweite Einstellungen, wie Vertrauensstellungen oder Replikationsarchitektur.

Die Verwaltung der Daten im Active Directory bzw. auf den Mitgliedsrechnern der Active-Directory-Gesamtstruktur sollte von den Datenadministratoren durchgeführt werden. Dabei sollten die Datenadministratoren keine Veränderungen am Active-Directory-Dienst selbst, z. B. Änderungen an der Verzeichnisdienst-Replikation, durchführen dürfen. Mittels Zugriffskontrolllisten (Access Control Lists, ACL s) sollten die Berechtigungen soweit möglich auf einzelne Teilbereiche eingeschränkt werden.

Da Dienste-Administratoren für die Diensteverwaltung weitreichende Berechtigungen benötigen, sollten sie grundsätzlich auch administrative Tätigkeiten in Bezug auf die Datenverwaltung durchführen können. Umgekehrt sollten die Datenadministratoren jedoch nicht in der Lage sein, die Konfiguration des Active Directory zu ändern.

Um Missbrauch der administrativen Konten vorzubeugen, müssen die Benutzerkonten der oben genannten Rollen entsprechend abgesichert werden. Die hierzu erforderlichen Konfigurationen am Active Directory selbst sind in der Maßnahme M 4.318 Umsetzung sicherer Verwaltungsmethoden für Active Directory aufgeführt.

Prüffragen:

  • Existiert eine Aufteilung der administrativen Benutzer bezüglich Diensteverwaltung und Datenverwaltung des Active Directory?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK