Active Directory Berechtigungen: Best Practice Guide fรผr Admins

Active Directory ist das Fundament von Windows Netzwerken und erlaubt Admins die Verwaltung von Benutzern, Gerรคten, Gruppen und Richtlinien. Entsprechend ist das Active Directory auch entscheidend wenn es darum geht, denn Zugriff auf IT-Ressourcen zu steuern. In diesem Beitrag sehen wir uns an, wie Active Directory Berechtigungen zugewiesen, aufgelistet und angepasst werden. Zudem erfahren Sie die wichtigsten Best Practices, die es dabei zu beachten gilt.

Was sind Active Directory Berechtigungen?

Der Verzeichnisdienst Active Directory funktioniert im Grunde wie eine Datenbank, in der Informationen zu allen Komponenten eines Windows-Netzwerks gespeichert sind: Benutzerkonten, Computer, Drucker, Fileserver und so weiter. Anstatt all diese Objekte einfach aufzulisten, erlaubt Active Directory zur besseren รœbersicht jedoch die Einteilung in hierarchische Strukturen. Zum Beispiel kรถnnen Admins mehrere User zu einer Gruppe hinzufรผgen und dieser Gruppe dann Zugriff auf einen bestimmten Ordner geben.

Als Grundlage fรผr die Benutzerverwaltung in Windows-Umgebungen spielt Active Directory daher auch eine wichtige Rolle wenn es darum geht festzulegen, wer Zugriff auf Dateien, Ordner und Applikationen erhalten soll. รœber Active Directory lassen sich dabei unterschiedliche Arten von Berechtigungen steuern โ€“ von NTFS Berechtigungen auf dem Fileserver bis hin zu Freigabeberechtigungen auf Dateifreigaben. Auch der Zugang zu externen Anwendungen kann รผber die Mitgliedschaft in AD-Gruppen verwaltet werden. Fรผr Admins ist es daher entscheidend zu verstehen, wie die Vergabe, Kontrolle und Anpassung von Active Directory Berechtigungen genau funktioniert.

Wรคhrend Active Directory Berechtigungen รผber Sicherheitsgruppen gesteuert werden, spielen Organisationseinheiten eine ebenso groรŸe Rolle wenn es um die Zuweisung von Gruppenrichtlinienobjekten geht.

Wie funktionieren Active Directory Berechtigungen?

Um zu รผberprรผfen, wer Zugriff auf ein Objekt hat, vergleicht Windows den Security Identifier (SID) des jeweiligen Benutzers mit der Access Control List (ACL) des Objekts. Bei der ACL handelt es sich im Wesentlichen um eine Liste von Benutzern sowie Gruppen und ihren Berechtigungen auf dem zugehรถrigen Objekt, z .B. Lesen, Bearbeiten, Vollzugriff.

รœber die ACL kann Benutzern mithilfe von Deny Berechtigungen auch der Zugriff explizit verweigert werden. Verweigern-Eintrรคge werden an den Beginn der ACL geschrieben und haben daher Vorrang vor Zulassen-Berechtigungen. Hat ein Benutzer also sowohl eine Erlauben- und eine Verweigern-Berechtigung, wird der Zugriff verweigert.

Darรผber hinaus gibt es zwei wichtige Konzepte, die Admins fรผr die Verwaltung von Active Directory Berechtigungen verstehen mรผssen:

  • Vererbung von Berechtigungen: Berechtigungen in Windows-Netzwerken sind standardmรครŸig so konfiguriert, dass รœberobjekte ihre Berechtigungen an Unterobjekte weitergeben bzw. vererben. Erhรคlt ein Benutzer zum Beispiel Zugriff auf einen Ordner, kann er im Normalfall auch alle Dateien und Unterordner darin รถffnen. Berechtigungsvererbung erleichtert die Verwaltung von Zugriffsrechten erheblich, da sich Admins auf wenige Einstellungen in hohen Verzeichnisebenen konzentrieren kรถnnen. Aber die Vererbung kann auch zu Fehlern und unerwรผnschten Zugriffen fรผhren.

  • Vorrang von Berechtigungen: Durch die Kombination von vererbten und direkt zugewiesenen bzw. expliziten Berechtigungen kann es zu Berechtigungskonflikten kommen. In diesem Fall haben explizite Berechtigungen Vorrang vor vererbten Rechten und Verweigern-Rechte haben Vorrang vor Zulassen. Erbt ein Benutzer zum Beispiel die Berechtigung “Lesen Verweigern” auf einem Ordner, kann diese durch die explizite Vergabe von “Lesen Erlauben” รผberschrieben werden. Eine explizite Verweigerung per “Deny Read” wรผrde diese wiederum aufheben.

Active Directory Berechtigungen setzen: So geht’s!

Die Vergabe von Active Directory Berechtigungen erfolgt รผber Active Directory Benutzer und Computer (ADUC), ein Snap-In fรผr die Microsoft Management Konsole bzw. den Active Directory Server Manager. Um die Berechtigungen eines Objekts zu bearbeiten, mรผssen Admins:

  1. Das Objekt auswรคhlen, dessen Berechtigungen angepasst werden sollen

  2. Per Rechtsklick die Eigenschaften anzeigen

  3. Zum Reiter Sicherheit wechseln

  4. Die Berechtigungen zuweisen, die unterschiedliche Benutzer und Gruppen erhalten sollen

Achtung: Bei der Vergabe von AD Berechtigungen mรผssen Best Practices stets eingehalten werden, andernfalls versinkt die Berechtigungslandschaft schnell im Chaos. Berechtigungen sollten nur anhand von Gruppen, mit so wenig expliziten Rechten wie mรถglich und unter Einhaltung des AGDLP-Prinzips gesteuert werden.

Active Directory Berechtigungen auslesen: So geht’s!

Auf dem gleichen Weg lassen sich in ADUC auch die Berechtigungen eines Nutzers oder Objekts prรผfen. Wรคhlen Sie dazu das Objekt aus, รถffnen per Rechtsklick die Eigenschaften und wechseln zum Reiter Sicherheit. Hier sind die Zugriffsrechte der unterschiedlichen AD-Nutzer und -Gruppen zu sehen.

Arten von Active Directory Berechtigungen

Active Directory kennt drei grundlegende Arten von Berechtigungen:

  • Lesen: Erlaubt das ร–ffnen von Dateien und Anzeigen ihrer Eigenschaften

  • Schreiben: Erlaubt das Bearbeiten und Lรถschen von Dateien

  • Vollzugriff: Erlaubt das Bearbeiten von Dateien sowie das Verรคndern von Einstellungen

Darรผber hinaus existieren aber auch spezielle Berechtigungen in Active Directory, welche in den erweiterten Einstellung des Sicherheitsreiters zu finden sind. Spezielle Berechtigungen bieten genauere Anpassungsmรถglichkeiten durch Einzelrechte wie “Lรถschen”, “Attribute lesen” oder “Berechtigungen รคndern”.

Best Practices fรผr Active Directory Berechtigungen

Nach der Lektรผre unseres Guides sind Sie nun mit Active Directory Users and Computers vertraut und wissen, wie man AD Berechtigungen zuweist. Aber zu wissen wie man ein Objekt im Active Directory bearbeitet ist nicht das Gleiche, wie zu wissen, wie man Zugriffsrechte effektiv verwaltet. Zu wissen, wie man den Herd einschaltet, macht einen schlieรŸlich auch noch nicht zum Spitzenkoch.

Wie genau funktioniert die erfolgreiche Verwaltung von Active Directory Berechtigungen also in der Praxis? Diesem Thema widmen wir uns im folgenden Abschnitt. Grundsรคtzlich gilt: Wรคhrend die genauen Einstellungen, Privilegien und Gruppenstrukturen, die es dazu braucht, vom Aufbau und Kontext der Organisation abhรคngig sind, gibt es einige wichtige Best Practices, die in jedem Fall bei der erfolgreichen Verwaltung helfen. Sie finden die vollstรคndige Liste hier.

1

Immer Gruppen verwenden

AD Berechtigungen sollten niemals direkt einem Benutzer zugewiesen werden. Berechtigungen fรผr jeden Account einzeln zu verwalten ist ein Riesenaufwand, bei dem Admins schnell die รœbersicht verlieren. Organisieren Sie Benutzer stattdessen in gemeinsamen Gruppen, die sich an der Geschรคftsrolle und dem erforderlichen Zugriff der Mitglieder orientieren.

Aber Achtung: Auch dieser Benutzergruppe sollten Admins keine expliziten Rechte zuweisen. Das Problem dabei ist, dass sich spรคter nicht nachvollziehen lรคsst, auf welchen Objekten die Gruppe berechtigt ist. Windows stellt nรคmlich keine entsprechende Liste bereit. Stattdessen legen Admins fรผr jede Berechtigung eine eigene Sicherheitsgruppe an, die genau dieses Recht steuert, und fรผgen die Benutzergruppe anschlieรŸend zu diesen Berechtigungsgruppen hinzu. Anhand der Auflistung der Gruppenmitgliedschaften und der sprechenden Namen der Sicherheitsgruppen lรคsst sich nun genau erkennen, auf welche Ressourcen Mitglieder Zugriff haben.

Diese Vorgehensweise bildet die Grundlage des von Microsoft empfohlenen AGDLP-Prinzips, mit dem sich die rollenbasierte Berechtigungsvergabe in Windows-Netzwerken realisieren lรคsst. Das AGDLP-Prinzip sorgt langfristig fรผr Transparenz und einfachere Verwaltung, erfordert aber das Anlegen eine Vielzahl an Gruppen sowie die genaue Einhaltung von Namenskonventionen.

Whitepaper

Access Governance: Best Pratices fรผr Microsoft-Umgebungen

Ein umfassender Leitfaden zur Umsetzung bewรคhrter Best Practices fรผr die Zugriffsverwaltung in Microsoft-Umgebungen.

2

Berechtigungsvererbung verstehen

Unter normalen Bedingungen erben Objekte im Active Directory Berechtigungen von รœberobjekten und geben diese an ihre Unterobjekte weiter. Die Berechtigungsvererbung zu verstehen und erfolgreich zu nutzen ist eine grundlegende Fertigkeit erfolgreicher Admins. Richtig eingesetzt ist die Vererbung von Rechten der grรถรŸte Verbรผndete, wenn es darum geht ihre Vergabe zu vereinfachen. Administratoren kรถnnen sich so auf die obersten Verzeichnisebenen konzentrieren, da die Einstellungen automatisch auf Unterebenen รผbertragen werden.

Allerdings kann es durch die Vererbung auch zu Problemen und unerwรผnschten Zugriffen kommen, wenn Ordner zum Beispiel am falschen Ort erstellt werden. Um Fehler zu vermeiden empfiehlt es sich, dass eigene AD von Anfang an fรผr die ungehinderte Vererbung von Rechten zu strukturieren. Zwar lรคsst sich die Berechtigungsvererbung auch deaktivieren oder auf bestimmten Objekten einschrรคnken, aber Organisationen sollten die Unterbrechung der Vererbung vermeiden. Dadurch wird es nรคmlich unnรถtig kompliziert nachzuvollziehen, welche Rechte weitergegeben werden und welche nicht.

3

Klare Strukturen schaffen

Von der Berechtigungsverwaltung รผber Organisationseinheiten und Gruppenrichtlinien: Mit einer gut durchdachten Struktur, die Ausnahmen und Sonderfรคlle weitgehend vermeidet, fรคllt die Verwaltung des Active Directory erheblich leichter. Eine klare Struktur sorgt dafรผr, dass Berechtigungen ungehindert vererbt werden, Einstellungen wie vorgesehen zur Anwendung kommen und Admins anhand der Verzeichnis- und Gruppennamen sofort erkennen, wer worauf Zugriff hat.

Natรผrlich ist das Erstellen einer รผbersichtlichen Active Directory Struktur leichter gesagt als getan. Es braucht Disziplin und Genauigkeit, um das eigene AD ordentlich zu halten. Alle Admins mรผssen sich dazu bei der Gruppen- und Berechtigungsverwaltung nach denselben Prinzipien richten. Und Sie mรผssen auch Endanwender unter Kontrolle haben, z.B. wenn es darum geht, wer neue Ordner im Root-Verzeichnis anlegen darf.

4

Least Privilege Zugriff sicherstellen

Das Steuern der Active Directory Berechtigungen dient zwei Aufgaben:

  • 1

    Sicherzustellen, dass Benutzer auf alle Ressourcen zugreifen kรถnnen, die sie brauchen.

  • 2

    Sicherzustellen, dass Benutzer auf keine Ressourcen zugreifen kรถnnen, die sie nicht brauchen.

Beide Seiten sind fรผr erfolgreiches AD-Berechtigungsmanagement gleich wichtig: Nur mit den richtigen Zugriffsrechten kรถnnen Benutzer ungehindert ihrer Arbeit nachgehen. Gleichzeitig muss der Zugang zu sensiblen Daten so streng wie mรถglich beschrรคnkt werden, um zu verhindern dass diese in falsche Hรคnde fallen โ€“ sei es durch kompromittierte Konten, Insider Threats, Cyberangriffe oder Datendiebstahl durch Mitarbeiter.

Effizientes Arbeiten zu ermรถglichen und die Informationssicherheit zu gewรคhrleisten ist eine Frage der Balance. Genau darum geht es beim Konzept des Least-Privilege Zugriffs: Benutzern alle Rechte zu geben, die sie brauchen, und alle zu nehmen, die sie nicht brauchen. In der Praxis erfordert Least Privilege Zugriff strukturierte Prozesse fรผr die Provisionierung und Deprovisionierung von Nutzern, ebenso wie laufende Access Reviews zur Rezertifierung von Berechtigungen.

Least Privilege Zugriff ist ein wichtiger Bestandteil vieler Regularien und Sicherheitsstandards, darunter etwa die DSGVO, NIS 2, NIST CSF und ISO 27001.

Das Problem mit Active Directory Berechtigungen

Das grรถรŸte Problem beim Verwalten von Active Directory Berechtigungen? Selbst wenn man genau weiรŸ, wie die Zuweisung von Berechtigungen funktioniert und welche Best Practices es im Rahmen der sicheren und effizienten Verwaltung zu beachten gilt, ist es immernoch eine Unmenge an Arbeit, dieses Wissen in die Tat umzusetzen. Zum Beispiel erleichtert das AGDLP-Framework zwar langfristig die Provisionierung neuer Benutzer. Davor mรผssen Admins aber erst einen Haufen an Berechtigungs- und Benutzergruppen anlegen.

Was die Situation noch schlimmer macht: Mit den Standard-Tools von Microsoft lassen sich AD-Berechtigungen weder angemessen verwalten noch nachvollziehen. Gerade das Berechtigungsreporting ist einer der grรถรŸten Pain Points fรผr Admins. In Windows gibt es nรคmlich keine Mรถglichkeit, Berechtigungen auf Benutzer- und Objektebene รผbersichtlich zu erfassen. Besonders, wenn es um komplexe Netzwerkstrukturen oder groรŸe Nutzerzahlen geht.

Integration von Active Directory und Azure AD

Durch die steigende Nutzung von Microsoft 365 Apps wie Teams, SharePoint und OneDrive wird die Integration der lokalen Domain mit Azure AD zum zentralen Thema bei der Verwaltung von Active Directory Berechtigungen. Es genรผgt nicht mehr, den Zugang zu lokalen Ressourcen zu steuern, Benutzer mรผssen auch die richtigen Konten und Lizenzen in der Cloud erhalten. Und natรผrlich gilt es, die nรถtigen Berechtigungsworkflows miteinander zu integrieren und zu automatisieren.

Microsoft bietet zwar eine Reihe an Tools und Hilfsmitteln an, um lokale Domains und Azure AD zu verbinden, doch auch hier lassen die offiziellen Werkzeuge leider einiges zu wรผnschen รผbrig. Von fehlenden Funktionen รผber seltsame Eigenheiten, die Bordmittel die zur Verwaltung hybrider Umgebungen zur Verfรผgung stehen sind alles andere als ideal. Davon abgesehen stellt sich weiterhin die Frage, wie sich Konten und Rechte in Drittanwendungen am besten managen lassen. Gibt es keine Mรถglichkeit, alle Benutzer und Rechte in einer Plattform zu verwalten? Doch, die gibt es!

Automatisches Berechtigungsmanagement mit tenfold

Lรถsungen fรผr das Identity und Access Management dienen als zentrale Schnittstelle fรผr die Verwaltung von Berechtigungen in der gesamten IT-Infrastruktur. Durch eine automatische IAM-Plattform ist es fรผr Organisationen ein Leichtes, Benutzern die richtigen Rechte zuzuweisen, den Zugriff laufend anzupassen, durch regelmรครŸige Audits zu kontrollieren und nicht benรถtigte Rechte zeitnah zu entfernen.

Ein Haken an der Sache: Konventionelle IAM Lรถsungen sind auf die Anforderungen von GroรŸkonzernen ausgerichtet โ€“ mit komplexen und extrem heterogenen IT-Strukturen. Das schlรคgt sich im hohen Programmieraufwand dieser Produkte nieder: Um Systeme wie Active Directory und Azure AD anzubinden, mรผssen Organisationen erst die dafรผr notwendigen Workflows, Datenimporte und Freigabeprozesse entwickeln und scripten. Mittelstรคndische Betriebe haben keine Mรถglichkeit, eine derart komplexe und aufwรคndige Lรถsung effektiv nutzen.

Anders hingegen tenfold: Unsere innovative No-Code IAM Lรถsung ermรถglicht die rasche Anbindung gรคngiger Systeme wie Active Directory und Azure AD dank sofort einsatzbereiter Plugins, die mit wenigen Handgriffen konfiguriert werden kรถnnen. Dank seiner benutzerfreundlichen Oberflรคche und dem No-Code Ansatz kann tenfold in wenigen Wochen vollstรคndig implementiert werden. Ein Bruchteil der Zeit, den eine vergleichbare Lรถsung in Anspruch nimmt. Informieren Sie sich jetzt in unserem kostenlosen IAM Vergleich รผber die Vorteile unserer Lรถsung.

Whitepaper

Identity und Access Management Software: Produkte im Vergleich

Finden Sie heraus, welche Kategorien von IAM Software am Markt erhรคltlich sind und welches Produkt optimal auf Ihre Bedรผrfnisse abgestimmt ist.

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.