M 2.229 Planung des Active Directory

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Eine grundlegende Voraussetzung für den sicheren Einsatz des Active Directory ist eine angemessene Planung im Vorfeld. Die Planung für ein Active Directory kann dabei in mehreren Schritten erfolgen. Es sollte zunächst ein Grobkonzept für die Struktur der Domäne erstellt und darauf aufbauend die einzelnen Teilaspekte konkretisiert werden. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können. Hinweise zum Aufbau und zur prinzipiellen Struktur eines Active Directory bietet die Maßnahme M 3.64 Einführung in Active Directory.

Im Rahmen der Active Directory Planung sind folgende Aspekte zu berücksichtigen:

Für jede Domäne muss entschieden werden,

Generell muss die geplante Active Directory-Struktur dokumentiert werden, dies trägt maßgeblich zur Stabilität, konsistenten Administration und damit zur Systemsicherheit bei. Es empfiehlt sich insbesondere festzuhalten, welche Schemaänderungen durchgeführt werden. Dabei sollten auch die Gründe für die Änderung dokumentiert sein.

Für jedes Active Directory-Objekt sollte dokumentiert sein:

Der Planung der Active Directory-Administration und des benutzten administrativen Modells kommt eine wichtige Aufgabe zu. Empfehlungen dazu finden sich zusammengefasst in Maßnahme M 2.230 Planung der Active Directory-Administration.

Die sicherheitsrelevanten Kernaspekte der Active Directory-Planung sind zusammengefasst:

Abschließend sei darauf hingewiesen, dass Fehler in der Active Directory-Planung und den zugrunde liegenden Konzepten nach erfolgter Installation nur mit beträchtlichem Aufwand zu berichtigen sind. Nachträgliche Veränderungen in der Active Directory-Struktur, wie z. B. die Anordnung von Domänen in Bäume und Forests, ziehen unter Umständen das komplette Neuaufsetzen von Domänen nach sich.

Prüffragen: