Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: G 3.49 Fehlerhafte Konfiguration des Active Directory - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 3.49 Fehlerhafte Konfiguration des Active Directory

Windows 2000 und Windows Server 2003 gestatten die Delegation einzelner administrativer Rechte - auch für Teilbereiche des Active Directory - an bestimmte Benutzer. Diese Delegation erfolgt durch die Vergabe detaillierter Einzelberechtigungen im Active Directory.

Durch die hohe Komplexität der Rechtevergabe, z. B. viele für die einzelnen Objekttypen spezifische Einzelberechtigungen, Vererbung von Berechtigungen, unzureichende Dokumentation, im Active Directory kann es geschehen, dass

Die Gefahr des unberechtigten Zugriffs bei Fehlkonfiguration der Active-Directory-Zugriffsrechte erhöht sich insbesondere dadurch, dass mehrere Zugriffsschnittstellen auf das Active Directory existieren, z. B. ADSI, LDAP.

Besondere Gefährdungen ergeben sich aus Handlungen, die die Datenbankstruktur des Active Directory ändern:

Beispiel:

Innerhalb einer Firma werden die internen Telefonnummern der Mitarbeiter im Active Directory abgelegt. Wenn die Rechner der Firma nur eine Domäne im Active Directory Baum eines größeren Unternehmensverbundes bilden, würden diese internen Telefonnummern bei Aufnahme in den Global Catalog an alle Domänen des Active Directory Baumes verteilt.