Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.230 Planung der Active Directory-Administration - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.230 Planung der Active Directory-Administration

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Das Active Directory (AD) besteht aus verschiedenen Objekten, die baumartig organisiert sind. Jedes Objekt besteht aus bestimmten Attributen, die die Objektinformationen speichern. Durch Objekte geschieht die Verwaltung eines Windows 2000/XP Systems, die durch einen berechtigten Administrator erfolgen muss. Für alle AD-Objekte können Berechtigungen vergeben werden, die den Zugriff auf die Objekte steuern. Damit kann festgelegt werden, welche Objekte von welchen Benutzern in einer bestimmten Art und Weise verändert werden können, wie beispielsweise das Anlegen von Benutzern oder das Zurücksetzen von Benutzerpasswörtern.

Bei einer Standardinstallation von Windows 2000 besitzen nur Administratoren das Recht, Veränderungen an Objekten vorzunehmen und damit eine Domäne zu verwalten. Benutzer besitzen in der Regel maximal Leserecht.

Generell gilt auch unter Windows 2000, dass an der Domänengrenze auch die administrative Macht der Administratoren der Domäne endet. Lediglich die Mitglieder der Gruppe Organisations-Admins besitzen in jeder Domäne eines Forests Vollzugriff auf alle AD-Objekte, und zwar unabhängig von den für diese Objekte eingestellten Zugriffsrechten. Standardmäßig sind dies die Mitglieder der Administratorengruppe der Forest-Root-Domain (FRD).

In großen Domänen empfiehlt sich die Delegation administrativer Aufgaben, so dass die administrative Last auf mehrere Administratoren verteilt ist oder auch, unter Umständen zusätzlich, eine Rollentrennung umgesetzt werden kann. Die Delegation administrativer Aufgaben erfolgt im AD durch die Vergabe von entsprechenden Zugriffsrechten auf AD-Objekte für die jeweiligen Adminstratorengruppen. Dabei erlaubt die AD-Rechtestruktur eine feingranulare Vergabe von Rechten. Auf diese Weise kann z. B. einem Administrator erlaubt werden, Benutzerkonten anzulegen und Benutzerpasswörter zurückzusetzen, jedoch nicht Benutzerkonten zu löschen oder in andere Organizational Units (OU, Organisationseinheiten) zu verschieben. Um die Vergabe gleichförmiger Rechte innerhalb eines kompletten Teilbaums zu vereinfachen, besteht zusätzlich die Möglichkeit, Rechte eines Objektes an Objekte im Unterbaum zu vererben. Da die Übernahme von vererbten Rechten durch bestimmte Objekte im Unterbaum unter Umständen nicht gewünscht ist, lässt sich die Übernahme für Objekte auch blockieren, so dass sich hier durchaus komplexe Szenarien für die Verteilung von Berechtigungen ergeben können (siehe auch M 3.27 Schulung zur Active Directory-Verwaltung).

Aus Sicherheitssicht ergeben sich folgende Aspekte, die bei der Planung der AD-Administration zu berücksichtigen sind:

Ergänzende Kontrollfragen: