Sicherheitsmanagement im Active Directory

Vordefinierte Gruppen

Die meisten vordefinierten Gruppen mit administrativen Berechtigungen finden sich im Container Users. In einer Forest-Root-Domäne – also der ersten in einem Forest eingerichteten Domäne – gibt es zunächst drei besonders wichtige administrative Gruppen:

  • Die Gruppe Domänen-Admins hat administrative Berechtigungen für die aktuelle Domäne, aber nicht für andere Domänen im Forest. Mitglieder dieser Domäne haben volle Zugriffsberechtigungen und können beispielsweise Benutzer- und Computerobjekte in einer Domäne anlegen.

  • Die Gruppe Organisations-Admins wird für die Administration der Forest-Struktur benötigt. Die Mitglieder dieser Gruppe dürfen beispielsweise neue Domänen in einem Forest anlegen.

  • Die Gruppe Schema-Admins hat die Berechtigung zur Änderung des Schemas, also der Datenstruktur des Active Directory.

Vorkonfiguriert: Im Container „Users“ des Active Directory finden sich mehrere vordefinierte Sicherheitsgruppen, die in Sicherheitskonzepten für das Active Directory genutzt werden können.
Vorkonfiguriert: Im Container „Users“ des Active Directory finden sich mehrere vordefinierte Sicherheitsgruppen, die in Sicherheitskonzepten für das Active Directory genutzt werden können.

Grundsätzlich gilt, dass man bei allen Gruppen sehr restriktiv bezüglich der Zuordnung von Benutzern sein sollte, da die Gruppen standardmäßig umfassende Zugriffsrechte besitzen.