Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices für die Delegation im Active Directory

Best Practices für die Delegation im Active Directory

Best Practices für die Active Directory-Delegation

Die Delegierung der Kontrolle über bestimmte Netzwerkbereiche ermöglicht es Benutzern, auf die für ihre Arbeit notwendigen Daten zuzugreifen. Jedoch kann das Gewähren von uneingeschränktem Zugang an alle erhebliche Cybersicherheitsrisiken für eine Organisation darstellen. Die Delegation im Active Directory kann den Zugang effektiv auf das beschränken, was Benutzer benötigen.

Befolgen Sie die unten aufgeführten Best Practices für die Active Directory-Delegation, um Ihr Netzwerk zu schützen.

Was ist Active Directory Delegation?

Die Delegation im Active Directory (AD) ermöglicht es Ihnen, Benutzern das Ausführen von Aufgaben zu gestatten, die erweiterte Berechtigungen erfordern — ohne sie zu hochprivilegierten Gruppen wie Domain Admins und Account Operators hinzuzufügen. Um die Kontrolle im Active Directory zu delegieren, können Sie den Assistenten zur Delegation der Steuerung in der Microsoft Management Console (MMC) Active Directory-Benutzer und -Computer (ADUC) Snap-In verwenden.

Wie man ein AD-Delegationsmodell entwickelt

Es ist am besten, einen praktischen Ansatz zur Delegierung von Rechten zu wählen. Denken Sie daran, Einfachheit bedeutet Unterstützbarkeit, und ein nachhaltiges Delegationsmodell wird enorme Vorteile bringen, indem es Ihnen ermöglicht, delegierte Berechtigungen in Active Directory richtig und effizient zu kontrollieren.

Schritt 1: Rollen erstellen

Der erste Schritt bei der Entwicklung eines Active Directory-Delegationsmodells besteht darin, eine Reihe von Administratorrollen zu erstellen und ihnen die richtigen Verantwortlichkeiten zuzuweisen. Beschränken Sie sich auf eine kleine, handhabbare Anzahl von Rollen für eine praktische Delegationskontrolle. Das richtige Gleichgewicht zu finden, kann herausfordernd sein, denn zu viele Rollen erhöhen die Komplexität und den Verwaltungsaufwand, aber zu wenige Rollen erlauben keine Rollentrennung.

Best Practices empfehlen die Verwendung der folgenden Rollen:

Serviceadministratoren:

  • Enterprise Admins sind verantwortlich für die oberste Dienstverwaltung im gesamten Unternehmen. Diese Gruppe sollte keine ständigen Mitglieder enthalten.
  • Domain Admins sind verantwortlich für die oberste Dienstverwaltung im gesamten Bereich. Diese Gruppe sollte nur eine kleine, überschaubare Anzahl von vertrauenswürdigen Administratoren enthalten.
  • Tier 4 Admins sind verantwortlich für die Dienstverwaltung im gesamten Bereich. Die erteilten Zugriffsrechte ermöglichen die Verwaltung nur der notwendigen Dienste und Funktionen und dienen als Eskalationspunkt für Datenadministratoren.

Datenadministratoren:

  • Tier 1 Admins sind verantwortlich für das allgemeine Verwalten von Verzeichnisobjekten, einschließlich der Durchführung von Passwort-Resets, der Änderung von Benutzerkontoeigenschaften usw.
  • Tier 2 Admins sind verantwortlich für die selektive Erstellung und Löschung von Benutzer- und Computerkonten für ihren Standort oder ihre Organisation.
  • Regionale Administratoren sind verantwortlich für die Verwaltung der Organisationsstruktureinheit (OU) und haben die Berechtigung erhalten, die meisten Objekte innerhalb ihrer OU zu erstellen.
  • Tier 3 Admins verwalten alle Datenadministratoren und fungieren als oberste Anlaufstelle und Eskalationspunkt für alle regionalen Administratoren.

Schritt 2: Verantwortlichkeiten zuweisen

Entwickeln Sie als Nächstes einen Satz von Anwendungsfällen, um zu helfen zu identifizieren, was jede Rolle tun kann und was nicht. Gut vorbereitete Anwendungsfälle werden Ihnen dabei helfen, die Rollen den Stakeholdern in Ihrer Organisation zu erklären und eine korrekte Rollenzuweisung sicherzustellen. Bei der Definition von Verantwortlichkeiten kategorisieren Sie diese nach Häufigkeit, Wichtigkeit und Schwierigkeit.

Aktive Zugriffssteuerungslisten (ACLs) in Active Directory-Containern definieren, welche Objekte erstellt werden können und wie diese Objekte verwaltet werden. Die Delegation von Rechten beinhaltet grundlegende Operationen an Objekten, wie die Fähigkeit, ein Objekt anzuzeigen, ein untergeordnetes Objekt einer bestimmten Klasse zu erstellen oder Attribut- und Sicherheitsinformationen von Objekten einer bestimmten Klasse zu lesen. Neben diesen grundlegenden Operationen definiert Active Directory erweiterte Rechte, die Operationen wie Send As und Manage Replication Topology ermöglichen.

Automatisieren Sie den Prozess des Testens, um sicherzustellen, dass jede Rolle wie vorgesehen funktioniert.

Schritt 3: Ein OU-Sicherheitsmodell definieren

Sobald Ihre Rollen und Verantwortlichkeiten festgelegt wurden, sollten Sie Ihr OU- und Sicherheitsgruppenmodell definieren. Eine Top-Level-OU (oder eine Reihe von OUs) sollte direkt unterhalb der Domäne erstellt werden, um alle Objekte zu beherbergen. Diese Top-Level-OU dient dem spezifischen Zweck, den erweiterten Managementbereich für Tier 4 Admins zu definieren. Mit einer Top-Level-OU können Rechte über den Verzeichnisdienst auf OU-Ebene beginnen, anstatt auf Domänenebene.

Unterhalb der obersten Organisationseinheiten (OUs) sollten Sie separate Unter-OU-Hierarchien erstellen, um jede Region oder Geschäftseinheit mit einem eigenständigen Datenmanagement-Team darzustellen. Jede regionale Unter-OU sollte eine standardisierte, nicht erweiterbare OU-Hierarchie für die Verwaltung von Verzeichnisobjekten haben.

Um zu verhindern, dass Administratoren ihre Privilegien eskalieren, erstellen Sie separate Sub-Admin-Gruppen – eine Tier 1 Admins, eine Tier 2 Admins und eine Regional Admins Gruppe für jede Sub-OU-Hierarchie – und fügen Sie die entsprechenden Konten in jede Gruppe ein. Das Platzieren dieser Konten in separaten OUs ermöglicht es, das Management auf ihre Ebene oder darunter zu beschränken.

Schritt 4: Steuern Sie die Verwendung delegierter Rechte

Der Schlüssel zu einem erfolgreichen Delegationsmodell ist die Durchsetzung des Prinzips der geringsten Rechte. In der Praxis bedeutet dies, dass jeder Sicherheitsgrundsatz (wie ein Benutzer oder Dienstkonto) nur die für seine Rollen erforderlichen Aufgaben ausführen können sollte und nichts darüber hinaus. Alle Admins müssen sich als normale Benutzer anmelden und ihre privilegierten Rechte nur verwenden, wenn es notwendig ist.

Um dies zu erreichen, ohne dass der Benutzer sich ab- und wieder anmelden muss, verwenden Sie den Sekundären Anmeldedienst (Runas.exe). Dies ermöglicht Benutzern, ihre Berechtigungen zu erhöhen, indem sie alternative Anmeldeinformationen bereitstellen, wenn sie Skripte oder andere ausführbare Dateien auf Servern und Arbeitsstationen ausführen.

Wie man Administratorrechte im Active Directory delegiert

Der Assistent für die Delegierung von Steuerung bietet eine einfache Möglichkeit, Berechtigungen im Active Directory zu delegieren. Angenommen, Sie möchten, dass Mitglieder der Gruppe Help Desk in der Lage sind, Benutzerkonten in der All Users OU in Ihrer AD-Domäne zu erstellen, zu löschen und zu verwalten. Um dies zu tun, müssen Sie die folgenden Schritte durchführen:

  1. Öffnen Sie die Konsole für Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf die OU All Users und wählen Sie Delegate Control. Klicken Sie auf die Schaltfläche Next im Delegation of Control Wizard.
  3. Klicken Sie auf die Schaltfläche Hinzufügen auf der Seite Benutzer oder Gruppen des Assistenten.
  4. Im Dialogfeld Select Users, Computers, or Groups geben Sie den Namen der Gruppe (Help Desk) ein, klicken Sie auf die Schaltfläche Check Names um sicherzustellen, dass der Name korrekt ist, und klicken Sie auf OK.
  5. Stellen Sie sicher, dass der Name der ausgewählten Gruppe nun auf der Liste der Seite Benutzer oder Gruppen steht und klicken Sie auf Weiter.
  6. Wählen Sie Create, delete, and manage user accounts auf der Seite Tasks to Delegate und klicken Sie auf Weiter.
  7. Überprüfen Sie die Informationen auf der letzten Seite des Assistenten und klicken Sie auf Finish.

Sie können bestätigen, dass die Berechtigungen korrekt geschrieben wurden, indem Sie die Sicherheitskarteikarte der Eigenschaften der Ziel-OU überprüfen.

Überlegungen bei der Delegation spezifischer Berechtigungen

Die Delegation im Active Directory ermöglicht es Organisationen, Benutzern Berechtigungen zu erteilen, die sie normalerweise nicht hätten, ohne sie zu privilegierten Gruppen hinzuzufügen. Unternehmen müssen jedoch einige Dinge beachten, wenn sie Berechtigungen delegieren.

Zum Beispiel spielt ein gutes Organizational Unit (OU) Design eine entscheidende Rolle bei der AD-Delegation. Dann sollten Sie mit dieser OU oder Gruppe von OUs Sicherheitsstufen etablieren. In jeder Stufe sollten Sie den am wenigsten privilegierten Zugriff gewähren. Der Zugriff mit geringsten Privilegien beschränkt, was Benutzer tun können, auf das absolut Notwendige für ihre Arbeit. Der Zugriff mit geringsten Privilegien ist der Schlüssel zur Cybersicherheit einer Organisation, da er die Anzahl der Personen, die Zugang zu kritischen Daten haben, begrenzt.

Beispielsweise kann eine Organisation das Zurücksetzen von Passwörtern oder das Entsperren von Berechtigungen einschränken, Berechtigungen zum Ändern von Telefonnummern gewähren, die Verwaltung der Gruppenmitgliedschaft im Active Directory an bestimmte Benutzer delegieren und so weiter.

Es liegt ebenfalls im besten Interesse eines Unternehmens, die Verwendung von integrierten Gruppen (einschließlich Enterprise Admins oder Domain Admins) zu vermeiden, da diese Gruppen möglicherweise umfangreiche und weitreichende Berechtigungen haben. Stattdessen ist es besser, Active Directory-Berechtigungen in Ebenen zu delegieren und regelmäßige Audits des Privileged Access durchzuführen.

Best Practices für die AD-Delegation

Befolgen Sie diese Richtlinien, um Active Directory Domain Services erfolgreich zu nutzen und angemessen zu delegieren.

  • Damit eine Delegation erfolgreich ist, müssen Organisationseinheiten (OUs) korrekt entworfen und implementiert werden, und die richtigen Objekte (Benutzer, Gruppen, Computer) müssen darin platziert werden.
  • Verwenden Sie keine integrierten Gruppen; die Berechtigungen innerhalb der Domäne sind normalerweise zu umfassend. Stattdessen sollten neue Gruppen erstellt werden, die ausschließlich für die Delegation konzipiert sind.
  • Verwenden Sie verschachtelte OUs. Es wird verschiedene Ebenen von Datenadministratoren innerhalb von AD geben. Einigen wird die Kontrolle über einen gesamten Datentyp übertragen, wie zum Beispiel Server – und anderen wird möglicherweise nur ein Teilbereich eines Datentyps zugewiesen, wie zum Beispiel Dateiserver. Diese Hierarchie wird durch das Erstellen von OUs und Unter-OUs etabliert, wobei die delegierte Verwaltung an der Spitze mehr Privilegien hat als jene weiter unten in der OU-Struktur.
  • Führen Sie regelmäßige Audits durch, um zu sehen, wer delegierte administrative Privilegien auf verschiedenen Ebenen in AD erhalten hat.
  • Führen Sie jährliche Audits durch, um festzustellen, wer welche delegierten Kontrollen im Active Directory hat.
  • Überprüfen Sie Ihre Umgebung auf verdächtige Aktivitäten, die auf eine Kompromittierung oder einen Missbrauch delegierter Rechte hinweisen könnten, wie etwa Versuche, Berechtigungen zu erhöhen, um Computerobjekte zu kontrollieren, über das Netzwerk auf sensible Daten zuzugreifen oder Sicherheitsrichtlinien (z. B. Kennwortanforderungen) zu ändern oder zu entfernen.
  • Erwägen Sie den Wechsel von einem Delegationsmodell, das auf ständigen Berechtigungen basiert, zu einer Privileged Access Management (PAM) Strategie mit Just-in-Time-Zugriff. Auf diese Weise können Sie Missbrauch oder böswillige Nutzung von ständigen Zugriffsrechten vermeiden, die Kontrolle über die Verwendung von Privilegien verbessern und die Angriffsfläche erheblich reduzieren.

Netwrix Software für das Privileged Access Management

Gehen Sie über die AD-Privilegiendelegation hinaus, um das Risiko kompromittierter oder missbrauchter Privileged Accounts zu minimieren.

Eine persönliche Demo anfordern

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
E-Book

Erleichterung der Datenverlustprävention mit Netwrix Solutions

Data Loss Prevention
E-Book

Software auf Windows installieren: Schmerzhaft, aber es muss nicht sein

Endpoint Management