Anhang E: Schützen von Organisationsadministratorgruppen in Active Directory

Anhang E: Schützen von Organisationsadministratorgruppen in Active Directory

Die Gruppe „Organisations-Admins“ (Enterprise Admins, EA), die sich in der Stammdomäne der Gesamtstruktur befindet, sollte keine Benutzer*innen auf täglicher Basis enthalten (mit der möglichen Ausnahme des Administratorkontos der Stammdomäne, sofern es wie unter Anhang D: Schützen integrierter Administratorkonten in Active Directory beschrieben geschützt ist).

Organisations-Admins sind standardmäßig Mitglieder der Administratoren-Gruppe in jeder Domäne in der Gesamtstruktur. Sie sollten die EA-Gruppe nicht aus den Administratoren-Gruppen in jeder Domäne entfernen, da im Falle eines Szenarios für die Notfallwiederherstellung einer Gesamtstruktur wahrscheinlich EA-Rechte erforderlich sind. Die Gruppe „Organisations-Admins“ der Gesamtstruktur sollte wie in den folgenden ausführlichen Anweisungen beschrieben geschützt werden.

Führen Sie für die Gruppe „Organisations-Admins“ in der Gesamtstruktur die folgenden Schritte aus:

  1. In Gruppenrichtlinienobjekten (Group Policy Objects, GPOs), die mit Organisationseinheiten (Organisation Units, OU) mit Mitgliedsservern und Arbeitsstationen in jeder Domäne verknüpft sind, sollte die EA-Gruppe den folgenden Benutzerrechten unter Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignments hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

    • Lokal anmelden verweigern

    • Anmelden über Remotedesktopdienste verweigern

  2. Konfigurieren Sie die Überwachung, um Warnungen zu senden, wenn Änderungen an den Eigenschaften oder der Mitgliedschaft der Gruppe „Organisations-Admins“ vorgenommen werden.

Ausführliche Anweisungen zum Entfernen aller Mitglieder aus der Gruppe „Organisations-Admins“

  1. Klicken Sie unter Server-Manager auf Tools und anschließend auf Active Directory-Benutzer und -Computer.

  2. Wenn Sie nicht die Stammdomäne für die Gesamtstruktur verwalten, klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf <Domäne> und anschließend auf Domäne ändern (wobei <Domäne> der Name der Domäne ist, die Sie derzeit verwalten).

    Screenshot: Hervorhebung der Menüoption zum Ändern der Domäne

  3. Klicken Sie im Dialogfeld Domäne ändern auf Durchsuchen, wählen Sie die Stammdomäne für die Gesamtstruktur aus, und klicken Sie auf OK.

    Screenshot: Schaltfläche „OK“ im Dialogfeld zum Ändern der Domäne

  4. Gehen Sie wie folgt vor, um alle Mitglieder aus der EA-Gruppe zu entfernen:

    1. Doppelklicken Sie auf die Gruppe Organisations-Admins, und klicken Sie dann auf die Registerkarte Mitglieder.

      Screenshot: Registerkarte „Mitglieder“ in der Gruppe „Organisations-Admins“

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf Entfernen, dann auf Ja und anschließend auf OK.

  5. Wiederholen Sie Schritt 2, bis alle Mitglieder der EA-Gruppe entfernt wurden.

Ausführliche Anweisungen zum Schützen von Organisations-Admins in Active Directory

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur zunächst <Gesamtstruktur>\Domänen\<Domäne> und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    Hinweis

    In einer Gesamtstruktur, die mehrere Domänen enthält, sollte ein ähnliches Gruppenrichtlinienobjekt in jeder Domäne erstellt werden, die erfordert, dass die Gruppe „Organisations-Admins“ geschützt werden muss.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot: Menüoption „Neu“ im Menü für Gruppenrichtlinienobjekte

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <GPO-Namen> ein, und klicken Sie anschließend auf OK (wobei der <GPO-Name> der Name dieses Gruppenrichtlinienobjekts ist).

    Screenshot: Eingeben des GPO-Namens und Auswählen des Quell-Starter-Gruppenrichtlinienobjekts

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <GPO-Name> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot: Auswählen der Option zum Zuweisen von Benutzerrechten

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Organisations-Admins ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ wie folgt als Batchauftrag anmelden:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Hinweis

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf Speicherorte, und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Organisations-Admins ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ als Batchauftrag anmelden

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der EA-Gruppe mit den folgenden Schritten als Dienst anmelden:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Hinweis

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf Speicherorte, und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Organisations-Admins ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der EA-Gruppe als Dienst anmelden

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Konfigurieren Sie Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten lokal bei Mitgliedsservern und Arbeitsstationen anmelden:

    1. Doppelklicken Sie auf Lokal anmelden verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Hinweis

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf Speicherorte, und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Organisations-Admins ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass sich Mitglieder der Gruppe „Organisations-Admins“ lokal bei Mitgliedsservern und Arbeitsstationen anmelden

    4. Klicken Sie auf OK und dann erneut auf OK.

  11. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ mit den folgenden Schritten über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie zunächst auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Hinweis

      Klicken Sie in einer Gesamtstruktur, die mehrere Domänen enthält, auf Speicherorte, und wählen Sie die Stammdomäne der Gesamtstruktur aus.

    3. Geben Sie Organisations-Admins ein, klicken Sie auf Namen überprüfen, und klicken Sie auf OK.

      Screenshot: Überprüfen, ob die Benutzerrechte konfiguriert wurden, um zu verhindern, dass Mitglieder der Gruppe „Organisations-Admins“ über Remotedesktopdienste auf Mitgliedsserver und Arbeitsstationen zugreifen

    4. Klicken Sie auf OK und dann erneut auf OK.

  12. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  13. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen....

      Screenshot: Hervorhebung der Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen...“

    3. Wählen Sie das soeben erstellte GPO aus, und klicken Sie auf OK.

      Screenshot: Auswählen der soeben erstellten GPO

    4. Erstellen Sie Verknüpfungen mit allen anderen Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen anderen Organisationseinheiten, die Mitgliedsserver enthalten.

    6. In einer Gesamtstruktur, die mehrere Domänen enthält, sollte ein ähnliches Gruppenrichtlinienobjekt in jeder Domäne erstellt werden, die erfordert, dass die Gruppe „Organisations-Admins“ geschützt werden muss.

Wichtig

Bei der Verwendung von Sprungbrettservern zum Verwalten von Domänencontrollern und Active Directory müssen Sie sicherstellen, dass sich die Sprungbrettserver in einer Organisationseinheit befinden, mit der diese GPOs nicht verknüpft sind.

Überprüfungsschritte

Überprüfen der GPO-Einstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. ein Jumpserver), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die GPO-Einstellungen zu überprüfen, versuchen Sie, das Systemlaufwerk mithilfe des Befehls NET USE zuzuordnen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich lokal mit einem Konto an, das Mitglied der EA-Gruppe ist.

  2. Bewegen Sie den Mauszeiger in die obere oder untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Rechteerweiterung zu genehmigen, klicken Sie auf Ja.

    Screenshot: Dialogfeld zum Genehmigen der Rechteerweiterung

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Servername>\c$ ein, wobei <Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot zeigt die Fehlermeldung, die angezeigt werden sollte.

    Screenshot: Fehlermeldung, die angezeigt werden sollte

Überprüfen der GPO-Einstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname<Dateiname>.bat ein (wobei <Dateiname> der Name der neuen Batchdatei ist).

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Suchfeld die Begriffe Aufgaben planen ein, und klicken Sie auf Aufgaben planen.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Wählen Sie im Feld Aktion die Option Programm starten aus.

  7. Klicken Sie unter Programm/Skript auf Durchsuchen, wählen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei aus, und klicken Sie auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der EA-Gruppe ist, und klicken Sie zunächst auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Anmeldeinformationen für das Benutzerkonto zur Ausführung der Aufgabe abgefragt werden.

  15. Klicken Sie nach Eingabe der Anmeldeinformationen auf OK.

  16. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Screenshot: Dialogfeld „Taskplaner“

Überprüfen der GPO-Einstellungen „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf Durchsuchen, und geben Sie den Namen eines Kontos ein, das Mitglied der EA-Gruppe ist. Klicken Sie zunächst auf Namen überprüfen und dann auf OK.

  8. Geben Sie unter Kennwort: und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf den Dienst Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld wie das folgende angezeigt werden.

    Screenshot: Meldung, dass Windows den Druckwarteschlangendienst nicht starten konnte

Zurücksetzen von Änderungen am Druckwarteschlangendienst

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie unter Anmelden als das Konto Lokales System aus, und klicken Sie auf OK.

Überprüfen der GPO-Einstellungen „Lokal anmelden verweigern“

  1. Versuchen Sie, sich mithilfe eines Kontos, das Mitglied der EA-Gruppe ist, über einen beliebigen Mitgliedsserver oder eine beliebige Arbeitsstation lokal anzumelden, der bzw. die von den GPO-Änderungen betroffen ist. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Screenshot: Meldung, dass die verwendete Anmeldemethode nicht zulässig ist

Überprüfen der GPO-Einstellungen „Anmelden über Remotedesktopdienste verweigern“

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Leiste Charms angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Suchfeld den Begriff Remotedesktopverbindung ein, und klicken Sie dann auf Remotedesktopverbindung.

  3. Geben Sie im Feld Computer den Namen des Computers ein, mit dem Sie eine Verbindung herstellen möchten, und klicken Sie dann auf Verbinden. (Sie können auch die IP-Adresse anstelle des Computernamens eingeben.)

  4. Wenn Sie dazu aufgefordert werden, geben Sie die Anmeldeinformationen für ein Konto an, das Mitglied der EA-Gruppe ist.

  5. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Schützen von EA-Gruppen