Sicherheitskonfiguration im AD

Zugriffsberechtigungen im Active Directory

Im Active Directory können Zugriffsberechtigungen mit unterschiedlichen Werkzeugen gesetzt werden. Dabei ist zu beachten, dass sowohl die Anwendung Active Directory-Benutzer und - Computer als auch Active Directory-Standorte und -Dienste jeweils nur einen Ausschnitt des Active Directory zeigen. Das gilt auch, wenn die Option Erweiterte Funktionen im Menü Ansicht bei Active Directory-Benutzer und -Computer ausgewählt wurde.

Bild 1: Auch bei Auswahl von Erweiterte Funktionen wird bei Active Directory- Benutzer und -Computer nur ein Teil der Objekte im Active Directory angezeigt.
Bild 1: Auch bei Auswahl von Erweiterte Funktionen wird bei Active Directory- Benutzer und -Computer nur ein Teil der Objekte im Active Directory angezeigt.
Bild 2: Mit ADSI Edit kann auf alle Objekte im Active Directory zugegriffen werden, um die Sicherheitseinstellungen zu setzen.
Bild 2: Mit ADSI Edit kann auf alle Objekte im Active Directory zugegriffen werden, um die Sicherheitseinstellungen zu setzen.

In Bezug auf das Sicherheitsmanagement ist dies eine wichtige Einschränkung. Mit den Funktionen dieser Anwendungen kann keine vollständige Sicherheitskonfiguration für das Active Directory durchgeführt werden.

Mit ADSI Edit steht ein Tool zur Verfügung, das Zugriff auf alle Bereiche des Active Directory erlaubt und das für die Vergabe von Sicherheitseinstellungen geeignet ist. ADSI Edit ist Teil der Windows Support Tools, zu finden im Ordner support\tools auf der Windows Server-CD geliefert. Mit ADSI Edit kann der Benutzer auf alle Bereiche des Active Directory zugreifen und dort die Zugriffsberechtigungen setzen. Da die Zugriffsberechtigungen wie alle anderen Informationen repliziert werden, muss diese Anpassung für jede Domäne nur einmal erfolgen. Interessant ist, dass trotz der insgesamt deutlich umfassenderen Informationen bei ADSI Edit die Schnittstelle für die Vergabe von Zugriffsberechtigungen identisch zu den anderen Anwendungen ist.

Man kann sich allerdings mit ADSI Edit auch darauf beschränken, die Sicherheitseinstellungen für die Partitionen Configuration und Schema anzupassen, da die Objekte in der Domäne zumindest bei Auswahl von Ansicht/Erweiterte Funktionen in Active Directory-Benutzer und - Computer vollständig angezeigt werden.

Über den Befehl Eigenschaften im Kontextmenü eines Objekts gelangt man zum Dialog Properties. Der Befehl findet sich bei allen Objekten unterhalb der Partitionen. Im Register Sicherheit wird zunächst die normale Ansicht der ACLs angezeigt, in der auf relativ hoher, abstrakter Ebene Zugriffsberechtigungen vergeben werden können.

Bild 3: Bei den Sicherheitseinstellungen gibt es auch eine Reihe spezieller Berechtigungen.
Bild 3: Bei den Sicherheitseinstellungen gibt es auch eine Reihe spezieller Berechtigungen.

Einige der Einstellungen sind allerdings bereits recht detailliert. Wenn beispielsweise die Eigenschaften auf der obersten Ebene unterhalb von Domain gewählt werden, finden sich neben Standardberechtigungen wie Vollzugriff oder Lesen auch speziellere Einstellungen wie Active Directory-Replikation überwachen, PDC ändern oder SID-Verlauf migrieren. Auf den darunter liegenden Ebenen gibt es keine solchen speziellen Einstellungen, dafür aber direkt unterhalb von Configuration und unterhalb von Schema.

Die dort zu findenden zusätzlichen Parameter sind sehr wichtig, um grundlegende Administrationsaufgaben im Active Directory zu delegieren. Es bietet sich an, diese genauer zu analysieren und zu entscheiden, welche der Einstellungen gegebenenfalls speziell angepasst werden müssen.

Falls die Berechtigungen auf dieser hohen Ebene nicht ausreichen, kann über die Schaltfläche Erweitert zum Dialogfeld Erweiterte Sicherheitseinstellungen gewechselt werden. Dort finden sich alle einzelnen ACEs (Access Control Entries) die auch darüber informieren, ob und von wo eine Berechtigung geerbt wurde. Interessant ist, dass sich dort auf der obersten Ebene eine Reihe einzelner Einträge für verschiedene wichtige Aufgaben wie die Synchronisation von Repliken innerhalb des Active Directory gibt (Bild 4) befinden.

Bild 4: Die erweiterten Sicherheitseinstellungen mit den speziellen Berechtigungen wie Replikationssynchronisation.
Bild 4: Die erweiterten Sicherheitseinstellungen mit den speziellen Berechtigungen wie Replikationssynchronisation.

Wichtig ist, dass die Berechtigungen für spezielle Benutzer wie Domänencontroller nicht modifiziert werden dürfen, um ein korrektes Verhalten des Systems sicherzustellen.

Diese Einträge können wiederum über Bearbeiten angepasst werden, ebenso wie sich mit Hinzufügen zusätzliche Berechtigungen erstellen lassen. Bei dieser Modifikation der Berechtigungen sollten einige Funktionen besonders beachtet werden:

  • Die Liste der Berechtigungen im Register Objekt ist grundsätzlich sehr lang. Hier finden sich meist spezielle Berechtigungen, insbesondere auf der obersten Ebene.

  • Im Listenfeld Übernehmen für kann ausgewählt werden, für welchen Bereich und welche Objektklassen die Berechtigungen gelten sollen. Das ist vor allem wichtig, um Berechtigungen nur für ausgewählte Objektklassen zu vergeben, beispielsweise nur die Klasse user oder nur spezielle Objektklassen, die von einer Anwendung im Active Directory angelegt werden.

  • Im Register Eigenschaften können Berechtigungen noch differenzierter konfiguriert werden. Hier findet sich eine Liste aller Eigenschaften, für die Berechtigungen gesetzt werden können. Es ist in der Regel nicht empfehlenswert, diese direkt zu modifizieren, da das sehr schnell sehr unübersichtlich wird. Bei speziellen Anforderungen für die Delegation von administrativen Berechtigungen können Eingriffe auf dieser Ebene aber erforderlich werden.

Es ist in jedem Fall nötig, die hier konfigurierten Sicherheitseinstellungen genau zu dokumentieren, um später nachvollziehen zu können, wer was machen darf. Dabei sollten die Standardberechtigungen für Administratoren normalerweise nicht angepasst werden. Vielmehr sollte mit zusätzlichen Operatorengruppen gearbeitet werden, denen die für ihre Aufgaben erforderlichen eingeschränkten Berechtigungen zugeordnet werden.