Sicherheitskonfiguration im AD

Die Delegation administrativer Berechtigungen

Für die standardmäßig (also ohne Ansicht/Erweiterte Funktionen in Active Directory-Benutzer und -Computer sowie Active Directory-Standorte und -Dienste) angezeigten Ordner kann die Zuweisung von Berechtigungen auch auf einfachere Weise über den Assistenten für die Delegation von Berechtigungen – von Microsoft als Assistent für die Zuweisung von Objektberechtigungen bezeichnet – erfolgen. Damit gibt es keine so differenzierten Steuerungsmöglichkeiten wie zuvor beschrieben. Für die Zuweisung zusätzlicher Berechtigungen an neu definierte Operatorengruppen sind die Möglichkeiten aber in der Regel ausreichend, wenn man von speziellen Berechtigungen beispielsweise beim Replikationsmanagement oder Schema-Management absieht.

Bild 5: Berechtigungen können bei den einzelnen ACEs sehr detailliert konfiguriert werden.
Bild 5: Berechtigungen können bei den einzelnen ACEs sehr detailliert konfiguriert werden.

Der Assistent arbeitet in zwei verschiedenen Modi. Im ersten Fall können die gleichen Berechtigungen wie bei der direkten Bearbeitung einzelner ACEs, nur eben über den Assistenten, gesetzt werden. Diese Option steht bei allen Ordnern zur Verfügung, bei denen der Assistent über den Befehl Objektverwaltung zuweisen im Kontextmenü aufgerufen werden kann. Der zweite Fall sind vordefinierte, spezielle Berechtigungen. Diese finden sich im Verwaltungsprogramm Active Directory-Benutzer und -Computer bei den Knoten

  • Domäne (oberste Ebene)

  • Computers

  • Domain Controllers

  • ForeignSecurityPrincipals

  • Program Data

  • System

  • Users

sowie bei Active Directory-Standorte und -Dienste bei den jeweiligen Standorten. Bei letzteren kann nur die Berechtigung zur Zuordnung von Gruppenrichtlinienobjekten konfiguriert werden.

Bei dem Assistenten kann im zweiten Fall nach der Auswahl der Gruppe – oder Benutzer, was aber nicht empfehlenswert ist – entweder ein vorkonfigurierter Task ausgewählt (Bild 6) oder mit Benutzerdefinierte Tasks zum Zuweisen erstellen direkt zum Berechtigungsmanagement gewechselt werden. Im ersten Fall ist die Konfiguration damit abgeschlossen. Im zweiten Fall kann ausgewählt werden, ob die Delegation für alle Objektklassen oder nur für ausgewählte Objektklassen erfolgen soll. Anschließend können die einzelnen Berechtigungen bis auf Eigenschaftsebene hinunter konfiguriert werden.

Bild 6: Die vordefinierten Aufgaben beim Assistenten für die Delegation.
Bild 6: Die vordefinierten Aufgaben beim Assistenten für die Delegation.

Damit können Aufgaben delegiert werden, die standardmäßig nicht vorgesehen sind. Ob man dazu allerdings über den Assistenten oder direkt über die vorgestellten Dialogfelder für das Berechtigungsmanagement arbeitet, ist Geschmacksache.

Standardgruppen für die Administration

Die Zuordnung der Berechtigungen ist ein wesentlicher Teil der Sicherung des Active Directory. Zwangsläufig stellt sich die Frage, zu welchen Gruppen diese Zuordnung erfolgen soll. Eine Zuweisung an einzelne Benutzer ist praktisch nie sinnvoll, da das die Administration sehr unübersichtlich macht.

In den Containern Builtin sowie Users des Active Directory finden sich die vordefinierten Gruppen. Die wichtigsten Administratoren-gruppen sind bei Users definiert. Hier finden sich

  • Domänen-Admins (Administratoren für die aktuelle Domäne)

  • Organisations-Admins (Administratoren mit spezifischen Berechtigungen für den gesamten Forest)

  • Schema-Admins (Administratoren mit der Forest-weiten Berechtigung zur Anpassung des Schemas).

Die beiden zuletzt genannten Gruppen gibt es allerdings nur in der Forest Root-Domäne. Außerdem werden je nach installierten Diensten weitere Gruppen wie DnsAdmins angelegt, die für die Administration dieser Dienste erforderlich sind.

Im Container Builtin finden sich dagegen Gruppen, die primär aus Gründen der Abwärtskompatibilität weiter benutzt werden. So stammen Gruppen wie die Konten-Operatoren oder Sicherungs-Operatoren noch aus Windows NT- oder sogar LAN Manager-Zeiten. Diese Gruppen können dennoch für die Zuweisung von operativen Berechtigungen weiterhin eingesetzt werden.

Alternativ und ergänzend dazu kann auch ein spezielles Rollenkonzept entwickelt werden. Das ist in der Regel auch empfehlenswert, um verschiedene Aufgaben gezielt verschiedenen Rollen zuzuweisen. Bedauerlich ist, dass – zumindest ohne erheblichen Programmieraufwand – keine zusätzlichen Tasks definiert werden können, sondern jeweils eine direkte Zuweisung von Zugriffsberechtigungen zu den einzelnen Rollen erfolgen muss.

Da Benutzer aber mehreren Gruppen zugeordnet werden können und es mit den globalen und lokalen (sowie optional den universalen) Gruppen auch Hierarchien gibt, können die lokalen Gruppen für die Repräsentation von einzelnen Aufgaben (Tasks) und die globalen Gruppen für die eigentlichen Rollen eingesetzt werden. Auf diese Weise entstehen zwar relativ viele lokale Gruppen. Die Administration wird aber dennoch sehr viel einfacher und übersichtlicher. Konkret würden also beispielsweise lokale Gruppen für das Zurücksetzen von Kennwörtern oder das Management der Zuordnung von Gruppenrichtlinien in verschiedenen Containern erstellt. Durch die Zuordnung von Benutzern zu globalen Gruppen und von globalen Gruppen zu lokalen Gruppen lassen sich die effizienten Berechtigungen anschließend einfach verwalten.