Netwrix 1Secure bietet einheitliche Sichtbarkeit über Daten und Identität — 14 Tage kostenlos mit vollem Zugriff.Starten Sie eine kostenlose Testversion

Jetzt kaufenKontaktieren Sie unsSupportGemeinschaft
EnglishEspañolItalianoFrançaisDeutschPortuguês
Datensicherheit
Al GovernanceData Security Posture ManagementDatenzugriffsverwaltungDatenverlustpräventionDatenentdeckung & Klassifizierung
Identity-Sicherheit
Identity Threat Detection & ResponseIdentity Governance & AdministrationIdentity Security Posture ManagementPrivileged Access ManagementDirectory-Sicherheit

Best Practices für Data Security Posture Management

Wissen Sie, wo sich Ihre sensiblen Daten befinden – und wer darauf zugreifen kann

Leitfaden erhalten
Empfohlene Produkte
Netwrix 1SecureNetwrix Endpoint ProtectorNetwrix PingCastleNetwrix Access AnalyzerNetwrix Identity ManagerNetwrix Privilege Secure
Produkte
Netwrix AuditorNetwrix 1Secure for MSPsNetwrix Data ClassificationNetwrix Change TrackerNetwrix Directory ManagerNetwrix Identity RecoveryNetwrix Password Policy EnforcerNetwrix Password SecureNetwrix Platform GovernanceNetwrix PolicyPakNetwrix Threat ManagerNetwrix Threat Prevention

Vereinheitlichte Sichtbarkeit über Daten und Identität. 14 Tage kostenlos mit vollem Zugriff

Netwrix 1Secure

Kostenlose Testversion starten
Ausgewählte Anwendungsfälle Alle Anwendungsfälle anzeigen
Active Directory SicherheitErkennung und Analyse von Identity-RisikenM365 Copilot BereitschaftNicht-menschliche IdentitätsverteidigungRegulatorische ComplianceShadow-KI-Sicherheit
Zusätzliche Anwendungsfälle Alle Anwendungsfälle anzeigen
Zugriffsüberprüfungen und ComplianceSicherheit von AD Certificate ServicesBerechtigungsverwaltungIdentity-BedrohungserkennungManaged Service ProviderFusionen, Übernahmen und VeräußerungenMicrosoft 365 SicherheitOn-Premise-BereitstellungErkennung und Bereinigung von BerechtigungenROT-Datenverwaltung und -bereinigungPasswortverwaltung für die BelegschaftZero Trust

Self-Service-Kasse verfügbar für Organisationen mit bis zu 150 Mitarbeitern

Starten Sie in wenigen Minuten

Jetzt kaufen
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken von Active Directory Compliance Jetzt kaufen Preise
Ressourcenzentrum Alle anzeigen
BlogAngriffskatalogComplianceKundengeschichtenCybersecurity-RahmenwerkeGlossar zur CybersicherheitVeranstaltungenFreewareAnleitungenIdeenportalNachrichtenPodcastsVeröffentlichungenProduktankündigungenForschungSicherheitsreifebewertungWebinare

Wie ausgereift ist Ihre Sicherheit?

Bewerten Sie Ihre Organisation und sehen Sie, wo Sie stehen

Nehmen Sie an der Bewertung teil
Partner
PartnerprogrammPartner werdenMSPsPartnerfinderWebinareMicrosoft-Allianz
Asset not found

Ausgewählte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert gleichzeitig die Prüfungszeit erheblich
Asset not found

Ausgewählte Kundengeschichte

MSP hilft Kunde, sich innerhalb von 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über UnsLeadershipNetwrix AIKundengeschichtenAnerkennungNachrichtenKarriere
Asset not found

Ausgewählte Kundengeschichte

Horizon Leisure Centres beschleunigt die Data Classification zur Einhaltung der GDPR und spart jährlich £80.000
Asset not found

Ausgewählte Kundenstory

Das Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Bereitstellung mit Netwrix Endpoint Protector
Ressourcen­zentrumBewährte Verfahren
Best Practices für die Active Directory-Delegierung

Best Practices für die Active Directory-Delegierung

Unknown block type "undefined", specify a component for it in the `components.types` option

Best Practices für die Active Directory-Delegation

Die Delegierung der Kontrolle über bestimmte Netzwerkbereiche ermöglicht es Benutzern, auf die für ihre Arbeit notwendigen Daten zuzugreifen. Jedoch kann das Gewähren von uneingeschränktem Zugang an alle erhebliche Cybersicherheitsrisiken für eine Organisation darstellen. Die Delegation im Active Directory kann den Zugang effektiv auf das beschränken, was Benutzer benötigen.

Befolgen Sie die unten aufgeführten Best Practices für die Active Directory-Delegation, um Ihr Netzwerk zu schützen.

Was ist Active Directory Delegation?

Die Delegation im Active Directory (AD) ermöglicht es Ihnen, Benutzern das Ausführen von Aufgaben zu gestatten, die erweiterte Berechtigungen erfordern — ohne sie zu hochprivilegierten Gruppen wie Domain Admins und Account Operators hinzuzufügen. Um die Kontrolle im Active Directory zu delegieren, können Sie den Assistenten zur Delegation der Steuerung in der Microsoft Management Console (MMC) Active Directory-Benutzer und -Computer (ADUC) Snap-In verwenden.

Wie man ein AD-Delegationsmodell entwickelt

Es ist am besten, einen praktischen Ansatz zur Delegierung von Rechten zu wählen. Denken Sie daran, Einfachheit bedeutet Unterstützbarkeit, und ein nachhaltiges Delegationsmodell wird enorme Vorteile bringen, indem es Ihnen ermöglicht, delegierte Berechtigungen in Active Directory richtig und effizient zu kontrollieren.

Schritt 1: Rollen erstellen

Der erste Schritt bei der Entwicklung eines Active Directory-Delegationsmodells besteht darin, eine Reihe von Administratorrollen zu erstellen und ihnen die richtigen Verantwortlichkeiten zuzuweisen. Beschränken Sie sich auf eine kleine, handhabbare Anzahl von Rollen für eine praktische Delegationskontrolle. Das richtige Gleichgewicht zu finden, kann herausfordernd sein, denn zu viele Rollen erhöhen die Komplexität und den Verwaltungsaufwand, aber zu wenige Rollen erlauben keine Rollentrennung.

Best Practices empfehlen die Verwendung der folgenden Rollen:

Serviceadministratoren:

  • Enterprise Admins sind verantwortlich für die oberste Dienstverwaltung im gesamten Unternehmen. Diese Gruppe sollte keine ständigen Mitglieder enthalten.
  • Domain Admins sind verantwortlich für die oberste Dienstverwaltung im gesamten Bereich. Diese Gruppe sollte nur eine kleine, überschaubare Anzahl von vertrauenswürdigen Administratoren enthalten.
  • Tier 4 Admins sind verantwortlich für die Dienstverwaltung im gesamten Bereich. Die erteilten Zugriffsrechte ermöglichen die Verwaltung nur der notwendigen Dienste und Funktionen und dienen als Eskalationspunkt für Datenadministratoren.

Datenadministratoren:

  • Tier 1 Admins sind verantwortlich für das allgemeine Verwalten von Verzeichnisobjekten, einschließlich der Durchführung von Passwort-Resets, der Änderung von Benutzerkontoeigenschaften usw.
  • Tier 2 Admins sind verantwortlich für die selektive Erstellung und Löschung von Benutzer- und Computerkonten für ihren Standort oder ihre Organisation.
  • Regionale Administratoren sind verantwortlich für die Verwaltung der Organisationsstruktureinheit (OU) und haben die Berechtigung erhalten, die meisten Objekte innerhalb ihrer OU zu erstellen.
  • Tier 3 Admins verwalten alle Datenadministratoren und fungieren als oberste Anlaufstelle und Eskalationspunkt für alle regionalen Administratoren.

Schritt 2: Verantwortlichkeiten zuweisen

Entwickeln Sie als Nächstes einen Satz von Anwendungsfällen, um zu helfen zu identifizieren, was jede Rolle tun kann und was nicht. Gut vorbereitete Anwendungsfälle werden Ihnen dabei helfen, die Rollen den Stakeholdern in Ihrer Organisation zu erklären und eine korrekte Rollenzuweisung sicherzustellen. Bei der Definition von Verantwortlichkeiten kategorisieren Sie diese nach Häufigkeit, Wichtigkeit und Schwierigkeit.

Aktive Zugriffssteuerungslisten (ACLs) in Active Directory-Containern definieren, welche Objekte erstellt werden können und wie diese Objekte verwaltet werden. Die Delegation von Rechten beinhaltet grundlegende Operationen an Objekten, wie die Fähigkeit, ein Objekt anzuzeigen, ein untergeordnetes Objekt einer bestimmten Klasse zu erstellen oder Attribut- und Sicherheitsinformationen von Objekten einer bestimmten Klasse zu lesen. Neben diesen grundlegenden Operationen definiert Active Directory erweiterte Rechte, die Operationen wie Send As und Manage Replication Topology ermöglichen.

Automatisieren Sie den Prozess des Testens, um sicherzustellen, dass jede Rolle wie vorgesehen funktioniert.

Schritt 3: Ein OU-Sicherheitsmodell definieren

Sobald Ihre Rollen und Verantwortlichkeiten festgelegt wurden, sollten Sie Ihr OU- und Sicherheitsgruppenmodell definieren. Eine Top-Level-OU (oder eine Reihe von OUs) sollte direkt unterhalb der Domäne erstellt werden, um alle Objekte zu beherbergen. Diese Top-Level-OU dient dem spezifischen Zweck, den erweiterten Managementbereich für Tier 4 Admins zu definieren. Mit einer Top-Level-OU können Rechte über den Verzeichnisdienst auf OU-Ebene beginnen, anstatt auf Domänenebene.

Unterhalb der obersten Organisationseinheiten (OUs) sollten Sie separate Unter-OU-Hierarchien erstellen, um jede Region oder Geschäftseinheit mit einem eigenständigen Datenmanagement-Team darzustellen. Jede regionale Unter-OU sollte eine standardisierte, nicht erweiterbare OU-Hierarchie für die Verwaltung von Verzeichnisobjekten haben.

Um zu verhindern, dass Administratoren ihre Privilegien eskalieren, erstellen Sie separate Sub-Admin-Gruppen – eine Tier 1 Admins, eine Tier 2 Admins und eine Regional Admins Gruppe für jede Sub-OU-Hierarchie – und fügen Sie die entsprechenden Konten in jede Gruppe ein. Das Platzieren dieser Konten in separaten OUs ermöglicht es, das Management auf ihre Ebene oder darunter zu beschränken.

Schritt 4: Steuern Sie die Verwendung delegierter Rechte

Der Schlüssel zu einem erfolgreichen Delegationsmodell ist die Durchsetzung des Prinzips der geringsten Rechte. In der Praxis bedeutet dies, dass jeder Sicherheitsgrundsatz (wie ein Benutzer oder Dienstkonto) nur die für seine Rollen erforderlichen Aufgaben ausführen können sollte und nichts darüber hinaus. Alle Admins müssen sich als normale Benutzer anmelden und ihre privilegierten Rechte nur verwenden, wenn es notwendig ist.

Um dies zu erreichen, ohne dass der Benutzer sich ab- und wieder anmelden muss, verwenden Sie den Sekundären Anmeldedienst (Runas.exe). Dies ermöglicht Benutzern, ihre Berechtigungen zu erhöhen, indem sie alternative Anmeldeinformationen bereitstellen, wenn sie Skripte oder andere ausführbare Dateien auf Servern und Arbeitsstationen ausführen.

Wie man Administratorrechte im Active Directory delegiert

Der Assistent für die Delegierung von Steuerung bietet eine einfache Möglichkeit, Berechtigungen im Active Directory zu delegieren. Angenommen, Sie möchten, dass Mitglieder der Gruppe Help Desk in der Lage sind, Benutzerkonten in der All Users OU in Ihrer AD-Domäne zu erstellen, zu löschen und zu verwalten. Um dies zu tun, müssen Sie die folgenden Schritte durchführen:

  1. Öffnen Sie die Konsole für Active Directory-Benutzer und -Computer.
  2. Klicken Sie mit der rechten Maustaste auf die OU All Users und wählen Sie Delegate Control. Klicken Sie auf die Schaltfläche Next im Delegation of Control Wizard.
  3. Klicken Sie auf die Schaltfläche Hinzufügen auf der Seite Benutzer oder Gruppen des Assistenten.
  4. Im Dialogfeld Select Users, Computers, or Groups geben Sie den Namen der Gruppe (Help Desk) ein, klicken Sie auf die Schaltfläche Check Names um sicherzustellen, dass der Name korrekt ist, und klicken Sie auf OK.
  5. Stellen Sie sicher, dass der Name der ausgewählten Gruppe nun auf der Liste der Seite Benutzer oder Gruppen steht und klicken Sie auf Weiter.
  6. Wählen Sie Create, delete, and manage user accounts auf der Seite Tasks to Delegate und klicken Sie auf Weiter.
  7. Überprüfen Sie die Informationen auf der letzten Seite des Assistenten und klicken Sie auf Finish.

Sie können bestätigen, dass die Berechtigungen korrekt geschrieben wurden, indem Sie die Sicherheitskarteikarte der Eigenschaften der Ziel-OU überprüfen.

Überlegungen bei der Delegation spezifischer Berechtigungen

Die Delegation im Active Directory ermöglicht es Organisationen, Benutzern Berechtigungen zu erteilen, die sie normalerweise nicht hätten, ohne sie zu privilegierten Gruppen hinzuzufügen. Unternehmen müssen jedoch einige Dinge beachten, wenn sie Berechtigungen delegieren.

Zum Beispiel spielt ein gutes Organizational Unit (OU) Design eine entscheidende Rolle bei der AD-Delegation. Dann sollten Sie mit dieser OU oder Gruppe von OUs Sicherheitsstufen etablieren. In jeder Stufe sollten Sie den am wenigsten privilegierten Zugriff gewähren. Der Zugriff mit geringsten Privilegien beschränkt, was Benutzer tun können, auf das absolut Notwendige für ihre Arbeit. Der Zugriff mit geringsten Privilegien ist der Schlüssel zur Cybersicherheit einer Organisation, da er die Anzahl der Personen, die Zugang zu kritischen Daten haben, begrenzt.

Beispielsweise kann eine Organisation das Zurücksetzen von Passwörtern oder das Entsperren von Berechtigungen einschränken, Berechtigungen zum Ändern von Telefonnummern gewähren, die Verwaltung der Gruppenmitgliedschaft im Active Directory an bestimmte Benutzer delegieren und so weiter.

Es liegt ebenfalls im besten Interesse eines Unternehmens, die Verwendung von integrierten Gruppen (einschließlich Enterprise Admins oder Domain Admins) zu vermeiden, da diese Gruppen möglicherweise umfangreiche und weitreichende Berechtigungen haben. Stattdessen ist es besser, Active Directory-Berechtigungen in Ebenen zu delegieren und regelmäßige Audits des Privileged Access durchzuführen.

Best Practices für die AD-Delegation

Befolgen Sie diese Richtlinien, um Active Directory Domain Services erfolgreich zu nutzen und angemessen zu delegieren.

  • Damit eine Delegation erfolgreich ist, müssen Organisationseinheiten (OUs) korrekt entworfen und implementiert werden, und die richtigen Objekte (Benutzer, Gruppen, Computer) müssen darin platziert werden.
  • Verwenden Sie keine integrierten Gruppen; die Berechtigungen innerhalb der Domäne sind normalerweise zu umfassend. Stattdessen sollten neue Gruppen erstellt werden, die ausschließlich für die Delegation konzipiert sind.
  • Verwenden Sie verschachtelte OUs. Es wird verschiedene Ebenen von Datenadministratoren innerhalb von AD geben. Einigen wird die Kontrolle über einen gesamten Datentyp übertragen, wie zum Beispiel Server – und anderen wird möglicherweise nur ein Teilbereich eines Datentyps zugewiesen, wie zum Beispiel Dateiserver. Diese Hierarchie wird durch das Erstellen von OUs und Unter-OUs etabliert, wobei die delegierte Verwaltung an der Spitze mehr Privilegien hat als jene weiter unten in der OU-Struktur.
  • Führen Sie regelmäßige Audits durch, um zu sehen, wer delegierte administrative Privilegien auf verschiedenen Ebenen in AD erhalten hat.
  • Führen Sie jährliche Audits durch, um festzustellen, wer welche delegierten Kontrollen im Active Directory hat.
  • Überprüfen Sie Ihre Umgebung auf verdächtige Aktivitäten, die auf eine Kompromittierung oder einen Missbrauch delegierter Rechte hinweisen könnten, wie etwa Versuche, Berechtigungen zu erhöhen, um Computerobjekte zu kontrollieren, über das Netzwerk auf sensible Daten zuzugreifen oder Sicherheitsrichtlinien (z. B. Kennwortanforderungen) zu ändern oder zu entfernen.
  • Erwägen Sie den Wechsel von einem Delegationsmodell, das auf ständigen Berechtigungen basiert, zu einer Privileged Access Management (PAM) Strategie mit Just-in-Time-Zugriff. Auf diese Weise können Sie Missbrauch oder böswillige Nutzung von ständigen Zugriffsrechten vermeiden, die Kontrolle über die Verwendung von Privilegien verbessern und die Angriffsfläche erheblich reduzieren.

Netwrix Software für das Privileged Access Management

Gehen Sie über die AD-Privilegiendelegation hinaus, um das Risiko kompromittierter oder missbrauchter Privileged Accounts zu minimieren.

Eine persönliche Demo anfordern

Diese Gruppen haben volle domänenweite Berechtigungen: Jeder Account in Domain Admins kann jedes Objekt im Verzeichnis lesen und schreiben, unabhängig davon, wie eng die tatsächliche Arbeitsanforderung ist.

Die Active Directory-Delegierung behebt diese Diskrepanz, indem sie auf OU-Ebene aufgabenspezifische Berechtigungen zuweist, anstatt über die Mitgliedschaft in privilegierten Gruppen.

Diese Anleitung erläutert, wie man ein AD-Delegationsmodell erstellt, wie man delegierte Rechte mit dem Delegation of Control Wizard anwendet und welche betrieblichen Praktiken verhindern, dass delegierte Berechtigungen sich zu unkontrolliertem Zugriff anhäufen.

Ein Helpdesk-Techniker, der für routinemäßige Passwortzurücksetzungen zu Domain Admins hinzugefügt wird, hat denselben Zugriff wie der Ingenieur, der die AD-Infrastruktur wartet, unabhängig davon, was die tatsächliche Aufgabe erfordert.

Was ist Active Directory-Delegierung?

Ungefähr 30 % der Eindringversuche beginnen mit dem Missbrauch gültiger Konten, laut The IBM X-Force 2025 Threat Intelligence Index. Die integrierten privilegierten Gruppen von Active Directory machen diese Anmeldeinformationen unverhältnismäßig gefährlich, da sie jedem Konto darin domänenweite Lese- und Schreibrechte gewähren.

Die Active Directory-Delegierung ermöglicht es Administratoren, Benutzern oder Gruppen aufgabenspezifisch erhöhte Berechtigungen zu gewähren, ohne sie zu privilegierten Gruppen wie Domain Admins oder Account Operators hinzuzufügen.

Wie man ein AD-Delegationsmodell entwickelt

Ein Helpdesk-Techniker, dem die Berechtigung zum Zurücksetzen von Passwörtern in einer OU übertragen wurde, erhält dieses Recht nur innerhalb dieses Bereichs. Die Berechtigung erstreckt sich nicht auf andere OUs, und das Konto erscheint in keiner privilegierten Gruppe.

Active Directory-Delegierung wendet Zugriffskontrolleinträge (ACEs) auf eine bestimmte Organisationseinheit (OU) oder Objektklasse an und beschränkt die Berechtigung genau auf das, was die Rolle benötigt.

Ein Delegationsmodell definiert die administrativen Rollen in Ihrer Umgebung, die Rechte, die jede Rolle besitzt, und die OU-Struktur, die diese Rechte eingrenzt. Ohne ein solches Modell sammeln sich delegierte Berechtigungen informell an und werden unmöglich zu prüfen.

Schritt 1: Rollen erstellen

  1. Datenadministratoren verwalten Objekte innerhalb des Verzeichnisses, ohne die zugrunde liegende Infrastruktur zu berühren. Organisieren Sie diese Ebene nach Umfang:
  2. Service-Administratoren verwalten die Active Directory-Infrastruktur selbst. Diese Ebene umfasst Enterprise Admins, Domain Admins und alle Konten, die die AD-Replikation, Domänendienste oder Dienstkonten verwalten, die von kritischen Systemen verwendet werden. Jedes Mitglied dieser Ebene kann jedes Objekt in der Domäne beeinflussen, daher sollte sie so klein wie möglich gehalten werden, je nach Umgebung.
  • Stufe 2 (Abteilungsadministratoren): Verwalten von Benutzerkonten innerhalb einer bestimmten Abteilung oder Funktion.
  • Stufe 1 (Regionale Administratoren): Verwalten von Benutzer- und Gruppenobjekten innerhalb einer definierten geografischen Region oder Geschäftseinheit.

Beginnen Sie damit, zwei Ebenen von Administratorrollen: Service-Admins und Daten-Admins zu definieren.

  • Stufe 3 (Help Desk): Führen Sie eingeschränkte Operationen durch, wie z. B. das Zurücksetzen von Passwörtern und das Entsperren von Konten, innerhalb einer zugewiesenen OU.

Halten Sie die Anzahl der Rollen gering. Jede zusätzliche Rolle erstellt ein Berechtigungssatz, der dokumentiert, zugewiesen und überprüft werden muss. Die Vermehrung von Rollen ist eine Hauptursache für die Ansammlung unkontrollierten Zugriffs in reifen AD-Umgebungen.

Schritt 2: Verantwortlichkeiten zuweisen

Dokumentieren Sie für jede Rolle, welche Rechte auf welche Objektklassen und in welchen OUs gelten. Ordnen Sie jede Zuweisung über drei Dimensionen zu:

  1. Häufigkeit: Wie oft die Rolle die Aufgabe ausführt; dies bestimmt die Überprüfungsfrequenz und ob automatisierte Werkzeuge gerechtfertigt sind.
  2. Wichtigkeit: Ob die Aufgabe geschäftskritisch oder routinemäßige Verwaltungsarbeit ist, beeinflusst die Genehmigungsschwellen für die anfängliche Gewährung.
  3. Schwierigkeit: Ob die Aufgabe technisches Urteilsvermögen erfordert oder von einem Generalisten ausgeführt werden kann; dies bestimmt die Anforderungen an Schulung und Einarbeitung.

Schritt 3: Definieren Sie ein OU-Sicherheitsmodell

Verwenden Sie standardmäßige Active Directory-Zugriffskontrolllisten (ACLs) für allgemeine Vorgänge und Extended Rights für Vorgänge wie Force Change Password oder Apply Group Policy. Dokumentieren Sie jede Zuweisung zum Zeitpunkt der Delegierung; undokumentierte Rechte sind bei Zugriffsüberprüfungen und Audits unsichtbar.

Erstellen Sie für jeden Bereich eine dedizierte Sicherheitsgruppe und wenden Sie delegierte Rechte auf die Gruppe anstatt auf einzelne Konten an.

Erstellen Sie auf oberster Ebene OUs, die mit Ihrem Verwaltungsmodell übereinstimmen, sei es geografisch, organisatorisch oder funktional. Innerhalb jeder obersten OU erstellen Sie Unter-OUs, die den Datenverwaltungsbereichen entsprechen.

Netwrix Auditor zeichnet Vorher-Nachher-Werte für Zugriffs- und Änderungsereignisse in hybriden Microsoft-Umgebungen auf. Fordern Sie eine Demo an.

Diese Struktur begrenzt die eskalationsbasierte Vererbung: Ein auf Sub-OU-Ebene delegierter Administrator kann Objekte in übergeordneten oder benachbarten OUs nicht beeinflussen, es sei denn, ihm werden explizit Rechte auf dieser Ebene gewährt. Überprüfen Sie die OU-Struktur jedes Mal, wenn sich das Organisationsmodell ändert.

Entwerfen Sie eine OU-Hierarchie, die Ihre Delegationsgrenzen widerspiegelt, bevor Sie Berechtigungen anwenden. Platzieren Sie privilegierte und administrative Konten in OUs, die von den Objekten, die sie verwalten, getrennt sind: Ein Domain Admin-Konto, das in derselben OU wie die Benutzer gespeichert ist, die es verwaltet, kann durch eine privilege escalation auf OU-Ebene angegriffen werden.

Schritt 1: Öffnen Sie den Assistenten zur Delegierung der Kontrolle

So delegieren Sie die Kontrolle in Active Directory

Der Delegation of Control-Assistent in Active Directory Users and Computers (ADUC) ist das Hauptwerkzeug zur Anwendung delegierter Rechte. Er schreibt ACL-Einträge direkt in die von Ihnen ausgewählte OU oder den Container und erstellt eine Berechtigungszuweisung, die später über die Sicherheitsregisterkarte der OU überprüft werden kann.

Schritt 2: Benutzer oder Gruppen auswählen

Die gruppenbasierte Zuweisung ermöglicht es Ihnen, den Zugriff durch Ändern der Mitgliedschaft hinzuzufügen oder zu entfernen, anstatt die ACL der OU direkt zu ändern, wodurch die Berechtigungsstruktur prüfbar und umkehrbar bleibt.

Fügen Sie im Bereich Benutzer oder Gruppen die security group hinzu, die die Administratorrolle mit delegierten Rechten repräsentiert.

Aktivieren Sie in ADUC unter dem Menü Ansicht die Erweiterte Funktionen, falls diese noch nicht aktiviert sind. Navigieren Sie zur OU, auf die Sie die Delegierung anwenden möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Delegierung steuern“. Der Assistent wendet die Rechte nur auf die ausgewählte OU und deren Inhalte an; übergeordnete OUs bleiben unberührt.

Schritt 3: Wählen Sie Aufgaben zum Delegieren aus

Rechte, die einzelnen Konten zugewiesen sind, erzeugen ACEs, die bei Rollenänderungen und Offboarding bestehen bleiben, es sei denn, jemand entfernt sie manuell.

Wählen Sie „Folgende Standardaufgaben delegieren“ für Standardvorgänge wie das Erstellen oder Löschen von Benutzerkonten, das Zurücksetzen von Passwörtern, das Auslesen von Benutzerinformationen oder die Verwaltung von Gruppenmitgliedschaften.

Schritt 5: Abschließen und überprüfen

Schritt 4: Legen Sie den Umfang der Delegation fest

Für Rechte außerhalb der vordefinierten Liste, einschließlich Extended Rights wie Force Change Password oder Apply Group Policy, wählen Sie „Erstellen Sie eine benutzerdefinierte Aufgabe zur Delegierung“.

Nachdem der Assistent abgeschlossen ist, überprüfen Sie das Ergebnis, indem Sie in ADUC mit der rechten Maustaste auf die OU klicken, Eigenschaften auswählen und die Registerkarte Sicherheit öffnen. Bestätigen Sie, dass der erwartete ACE mit den richtigen Berechtigungen und dem richtigen Umfang aufgeführt ist.

Definieren Sie für benutzerdefinierte Aufgaben, auf welche Objektklassen sich die Delegierung bezieht (Benutzerobjekte, Computerobjekte oder Gruppenobjekte) und ob die Berechtigung auf die OU selbst, auf Objekte innerhalb der OU oder auf beide angewendet wird. Beschränken Sie den Umfang so eng wie die dokumentierten Verantwortlichkeiten der Rolle erfordern.

Best Practices für die Active Directory-Delegierung

Testen Sie, indem Sie sich als Mitglied der delegierten Gruppe anmelden und sowohl erlaubte als auch ausgeschlossene Operationen ausführen, um zu bestätigen, dass die Delegierung genau wie beabsichtigt funktioniert.

Dokumentieren Sie jede Delegation zum Zeitpunkt der Zuweisung

Ein Delegationsmodell und der Delegation of Control Wizard bilden die technische Grundlage. Diese Praktiken erhalten die Sicherheit dieser Grundlage, während sich die Umgebung und Organisation weiterentwickeln.

Nach jedem Durchlauf des Delegation of Control Wizards erfassen Sie die OU, die Gruppe, die die Rechte erhält, die spezifisch gewährten Berechtigungen und die geschäftliche Begründung in einem zentralen Zugriffsregister, bevor dieser Zugriff genutzt wird.

Weisen Sie delegierte Rechte Sicherheitsgruppen zu, nicht einzelnen Konten

Eine Tabelle, ein ITSM-Ticket oder ein dediziertes IAM-System erfüllen alle den Zweck. Wichtig ist, dass die Dokumentation vor der Nutzung des Zugriffs vorhanden ist und die geschäftliche Begründung abdeckt, nicht nur den technischen Umfang.

Wenn Rechte einem einzelnen Konto zugewiesen werden, bleiben sie im ACL der OU bestehen, auch nachdem diese Person die Organisation verlässt, die Rolle wechselt oder ihr Konto deaktiviert wird.

Der Assistent erzeugt keine eigenen Protokolle; er wendet ACEs auf den Sicherheitsdeskriptor der OU an, ohne die Aktion, den Genehmiger oder die Begründung für die Gewährung zu erfassen. Nicht dokumentierte ACEs werden bei Zugriffsüberprüfungen und Audits unsichtbar und verlieren nach einem Personalwechsel ihre einzige Kontextquelle.

Der ACE bleibt an die SID des Kontos angehängt und wird nicht automatisch im Rahmen der Standard-Offboarding-Schritte gelöscht.

Änderungen der Gruppenmitgliedschaft erzeugen Ereignisse im Sicherheitsprotokoll; direkte ACE-Änderungen an OUs erfordern spezifische Einstellungen der Prüfungsrichtlinie, um gleichwertige Nachweise zu erzeugen.

Rechte, die einer Sicherheitsgruppe zugewiesen sind, werden durch Entfernen des Kontos aus der Gruppe während des Offboardings widerrufen, was den Standard-IAM-Workflows entspricht, eine saubere Prüfspur erstellt und mit dem Wachstum oder den Änderungen des Teams skaliert.

Wenden Sie das Prinzip der geringsten Rechte auf jede Delegation an

Gewähren Sie nur die Rechte, die jede Rolle benötigt, um ihre dokumentierten Aufgaben auszuführen, und verwenden Sie dabei den engsten OU-Bereich und das spezifischste Berechtigungsset, das für die Arbeit erforderlich ist.

Nachdem Sie eine Delegation angewendet haben, testen Sie diese, indem Sie sich als Mitglied der delegierten Gruppe anmelden und bestätigen, dass nur die vorgesehenen Operationen erfolgreich sind und die ausgeschlossenen Operationen fehlschlagen.

Überprüfen Sie delegierte Berechtigungen mindestens vierteljährlich

Planen Sie regelmäßige Zugriffsüberprüfungen, um ACEs auf sensiblen OUs aufzulisten und zu bestätigen, dass jeder Eintrag weiterhin eine aktuelle geschäftliche Anforderung widerspiegelt.

Das Prinzip der geringsten Rechte angewandt auf Delegation bedeutet, Rechte auf die relevante Unter-OU zu beschränken statt auf die übergeordnete OU und spezifische erweiterte Rechte auszuwählen statt umfassenden Schreibzugriff. Es beinhaltet auch, zusammengesetzte Aufgaben in separate Delegationen aufzuteilen statt breitere Berechtigungen für mehrere Fälle zu vergeben.

Vierteljährliche Überprüfungen erkennen Berechtigungsabweichungen, bevor sie sich zu einem Rückstau nicht dokumentierter Zugriffe ansammeln, der Umgebungen schwer auditierbar macht.

Das Erkennen delegierter Berechtigungen in Active Directory im großen Maßstab erfordert PowerShell oder speziell entwickelte Werkzeuge; die native ADUC-Oberfläche zeigt den aktuellen Berechtigungsstatus, zeichnet jedoch nicht auf, wann ein ACE erstellt wurde oder wer ihn erstellt hat.

Verwenden Sie separate Konten für privilegierte Vorgänge

Öffnen Sie die Registerkarte Sicherheit der Ziel-OU (nur sichtbar, wenn Erweiterte Funktionen in ADUC aktiviert sind) und prüfen Sie sowohl explizite als auch vererbte Einträge. Entfernen Sie alle ACEs, die zu einer Gruppe ohne aktive Mitglieder oder dokumentierten Zweck gehören.

Fordern Sie Administratoren auf, bei der Ausführung delegierter Aufgaben ein dediziertes Administratorkonto zu verwenden, das von dem Konto getrennt ist, das sie für E-Mails und die tägliche Arbeit nutzen.

Eine Privileged Access Management Strategie, die Administrator-Konten von täglichen Anmeldeinformationen trennt, ist eine der effektivsten Maßnahmen gegen lateral basierte Bewegungen mit Anmeldeinformationen.

Das Standardkonto verwaltet Routineaktivitäten und trägt das Risikoprofil eines gewöhnlichen Benutzerzugangs; das Admin-Konto wird nur aktiviert, wenn eine erhöhte Operation erforderlich ist, und sollte keinen Zugriff auf E-Mails, Web-Browsing oder Arbeitsstationen mit nicht vertrauenswürdigem Inhalt haben.

Bewegen Sie sich auf Just-in-Time-Zugriff für hochprivilegierte Delegationen zu

Die Isolierung des Privilegienumfangs begrenzt, was ein Angreifer durch die Kompromittierung einer einzelnen Anmeldeinformation erlangen kann, und macht die Aktivitäten privilegierter Konten isoliert vom routinemäßigen Benutzerverhalten prüfbar.

Dauerhafter delegierter Zugriff bedeutet, dass jedes Konto mit diesen Rechten dauerhaft durch Diebstahl von Anmeldeinformationen, Phishing oder laterale Bewegungen exponiert ist, unabhängig davon, wie selten das Konto tatsächlich verwendet wird.

Für Rollen mit höchsten Privilegien beseitigen Sie den dauerhaften delegierten Zugriff vollständig und ersetzen ihn durch Just-in-time-Zugriff, der erhöhte Berechtigungen nur für die Dauer einer genehmigten Aufgabe gewährt und diese automatisch widerruft, wenn die Aufgabe endet.

Jeder unten aufgeführte Berechtigungstyp hat Sicherheitsimplikationen, die der Delegation of Control Wizard nicht anzeigt.

Netwrix Privilege Secure ersetzt dauerhafte Administrator-Konten durch just-in-time privilegierte Sitzungen, die automatisch widerrufen werden. Fordern Sie eine Demo an.

Überlegungen bei der Delegierung spezifischer Berechtigungen

Just-in-time-Zugriff verkürzt das Zeitfenster, in dem ein kompromittiertes Anmeldecredential delegierte Rechte ausnutzen kann, reduziert den ACE-Fußabdruck, den vierteljährliche Überprüfungen abdecken müssen, und erzeugt einen Genehmigungs- und Sitzungsnachweis, der die Auditbelege für regulierte Umgebungen stärkt.

Passwort zurücksetzen und Konto entsperren

Gruppenmitgliedschaftsverwaltung

Prüfen Sie die Gruppen im Geltungsbereich für geschützte Mitglieder (Domain Admins, Enterprise Admins, Account Operators), bevor Sie diese Delegation anwenden.

Jegliche Delegation, die auf diese Konten angewendet wird, ist nicht gültig, und der bloße Versuch, sie anzuwenden, ist ein Signal zur Untersuchung.

Berechtigungen für Gruppenrichtlinienobjekte

Überprüfen Sie zuerst die OU-Grenze. Eine Rolle, die zum Zurücksetzen von Passwörtern in einer OU delegiert ist, die Domain Admin-Konten oder service accounts enthält, besitzt einen Pfad zum Zurücksetzen von Anmeldeinformationen für Tier-Zero-Zugriff; der Berechtigungsumfang ist technisch korrekt, aber der OU-Umfang nicht. Stellen Sie sicher, dass die OU nur Standardbenutzerkonten enthält, bevor Sie die Delegierung anwenden.

Der SDProp-Prozess von Active Directory wendet alle 60 Minuten die AdminSDHolder-ACEs erneut auf diese Konten an und überschreibt dabei stillschweigend benutzerdefinierte Delegierungen.

Verwaltung von Computerkonten

Die Delegierung von Group Policy ist in drei Rechte unterteilt (Erstellen, Bearbeiten und Verknüpfen), und das Verknüpfungsrecht sollte standardmäßig nicht zusammen mit den anderen vergeben werden.

Setzen Sie ms-DS-MachineAccountQuota auf null, bevor Sie die Verwaltung von Computer-Konten delegieren; der Standardwert von 10 erlaubt es jedem authentifizierten Benutzer, Computer ohne jegliche Delegation der Domäne beizutreten.

Das Verknüpfen eines GPO wendet dessen Einstellungen sofort auf jedes Objekt in der Ziel-OU und deren untergeordneten Objekten an. Behandeln Sie die Verknüpfung als separate, erhöhte Berechtigung, die eine eigene Genehmigung erfordert.

Einstellungen für die Delegierung der Kerberos-Authentifizierung

Beachten Sie auch, dass die Standard-Delegierung von Computerkonten Schreibzugriff auf SPN beinhaltet; lassen Sie dieses Recht bei der Vergabe weg, es sei denn, die Rolle erfordert es ausdrücklich, da Schreibzugriff auf SPN eine Kerberoasting-Exposition verursacht.

Die Kerberos-Delegierung ist ein separates Attribut von der Active Directory-Kontrolldelegierung; sie wird nicht über den Delegation of Control-Assistenten festgelegt und kann bei Delegationsüberprüfungen leicht übersehen werden.

Wie Netwrix bei der Active Directory-Delegierung hilft

Überprüfen Sie bei der Prüfung delegierter Konten, ob eines auch eine uneingeschränkte Kerberos-Delegierung besitzt. Falls ja, behandeln Sie dieses Konto als Tier 0, unabhängig von seiner OU, da ein kompromittierter Dienst mit uneingeschränkter Delegierung jedes TGT offenlegt, das der Domänencontroller ihm übergeben hat.

Rollen sammeln im Laufe der Zeit Rechte an, Gruppen nehmen Mitglieder auf, die sie nicht haben sollten, und ACEs, die für ein bestimmtes Projekt angewendet wurden, bleiben lange nach Projektende auf OUs.

Die Active Directory-Delegierung verteilt die Kontrolle über die Umgebung, und jede verteilte Berechtigung ist eine potenzielle Lücke, wenn sie nicht überprüft oder dokumentiert wird.

Ohne kontinuierliche Sichtbarkeit der Berechtigungsänderungen können Sicherheitsteams die Zugriffsposition nicht aufrechterhalten, die das Delegationsmodell durchsetzen sollte.

Die Verwaltung delegierter Zugriffe erfordert die Erkennung von Berechtigungsänderungen in Echtzeit, das Erkennen von Abweichungen, bevor sie ausgenutzt werden können, und die Erstellung verteidigungsfähiger Nachweise für Zugriffsprüfungen und Compliance-Audits.

Netwrix Auditor überwacht AD-Berechtigungsänderungen in Echtzeit und erstellt die Vorher-Nachher-Prüfung, die Zugriffsüberprüfungen und regulatorische Nachweise unterstützt.

Gemeinsam bieten sie Sicherheitsteams eine kontinuierliche Sichtbarkeit sowohl der vorgenommenen Änderungen als auch des Zugriffsstatus, den diese Änderungen erzeugen.

Netwrix Access Analyzer kartiert effektiven Zugriff über verschachtelte Gruppen und OU-Vererbung, um übermäßige oder veraltete delegierte Rechte aufzudecken, bevor sie zu Audit-Feststellungen werden.

Fordern Sie eine Demo an um zu sehen, wie Netwrix Ihnen helfen kann, die Active Directory-Delegation zu verwalten, Berechtigungsabweichungen zu erkennen und eine verteidigungsfähige Audit-Trail zu führen.

Häufig gestellte Fragen zu den Best Practices für die Active Directory-Delegierung

Teilen auf

Verwandte Ressourcen

Vertiefen Sie sich in unsere weiterführenden Ressourcen

Resource Center
Vorlage

NetSuite AI readiness checklist

Künstliche Intelligenz
E-Book

Verbesserung Ihres IGA-Programms mit Netwrix Directory Manager

Identitätsverwaltung und -steuerung