Sicherheit in Active Directory

Administratorkonto umsichtig einsetzen und Rechte aufteilen

| Autor: Thomas Joos

Pixabay.com
Pixabay.com (Pixabay.com)

Administratorkonten sollten in Active Directory-Umgebungen sehr umsichtig eingesetzt werden. Dabei sollten die Administratoren, beziehungswiese die Verantwortlichen im Unternehmen verschiedene Dinge berücksichtigen. Vieles ist bereits mit den Standardmöglichkeiten in Active Directory möglich.

Zunächst sollten für die verschiedenen Serveranwendungen im Unternehmen auch jeweils verschiedene Administratorkonten verwendet werden. Administratorkonten für SQL-Server, sollten nicht auch noch für Exchange verwendet werden, oder zur Verwaltung von Active Directory. Wird ein solches Konto kompromittiert, dann sind auch alle anderen Serverdienste in Gefahr. Aber auch innerhalb der Standard-Serverdienste von Windows-Servern, sollte mit unterschiedlichen Konten gearbeitet werden. Windows-Server bieten dazu verschiedene Benutzergruppen an, die standardmäßig verfügbar sind, und auch genutzt werden sollten. Vor allem in Gesamtstrukturen sind diese Standardgruppen in der Rootdomäne besonders wichtig.

In sicheren AD-Umgebungen ist es sinnvoll, möglichst wenig mit Konten mit erhöhten Rechten zu arbeiten. Die Anmeldung sollte immer nur mit dem Administrator-Konto erfolgen, dass für den jeweiligen Serverdienst eingerichtet ist.An Standorten an denen die Domänencontroller nicht in geschützten Serverräumen positioniert sind, sollten schreibgeschützte Domänencontroller eingesetzt werden.