Suche
  • Team modernX

Mehr Sicherheit durch "Local Admin Rights"

Aktualisiert: Aug 18

Die meisten Kunden sind schon auf dem richtigen Weg was die Berechtigungen ihrer IT-Landschaft angeht. Jedoch ist eine saubere Berechtigung ohne den klassischen „Domain Admin“ der sich in der Gruppe der lokalen Administratoren befindet noch nicht weit verbreitet.

Ersetzen Sie die Mitglieder der lokalen Administratoren durch eine von Ihnen definierte Gruppe, erhöhen Sie die Sicherheit und kontrollieren wer lokale administrative Berechtigungen auf Ihren System hat.

Seitens Microsoft sind alle Werkzeuge vorhanden, um das Thema mit kleinen Handgriffen umzusetzen und somit können die Mitglieder der „Domain Admin“ reduziert werden.


In diesem Blog Artikel möchten wir ihnen einem HowTo Artikel aufzeigen wie dies umsetzten können.


Anlage der Gruppen

Für die Umsetzung benötigen wir Zugriff auf die Gruppenrichtlinienverwaltung und die Active Directory. Mittels eins Skripts wird für jeden Server eine Active Directory Gruppe angelegt, diese wird wiederum mittels einer Gruppenrichtlinie auf den jeweiligen Server in die lokale Administratoren Gruppe verschachtelt.

Es empfiehlt sich hierfür innerhalb der Active Directory eine separate Organisationseinheit (OU) anzulegen in welcher alle „Local Adming Right“ Gruppen hinterlegt werden.

Wie in dem Screenshot zu sehen werden innerhalb der OU alle Gruppen angelegt. Die Anlage der Gruppen kann entweder händisch erfolgen oder per Skript. Wir haben für unsere Kunden ein Skript geschrieben, welches das ganze übernimmt.

Das Skript prüft eine bestimmte OU Struktur und erstellt die fehlenden Gruppen oder löscht nicht mehr benötigte Gruppen, falls der Computer Account nicht mehr vorhanden ist.


Es ist möglich das Skript manuell oder zum Beispiel als „geplante Aufgabe“ auszuführen, dieses kann beliebig oft geschehen.

Das Skript können Sie hier herunterladen


Zuweisen der Gruppen

Wir hinterlegen nun die erstellten Gruppen anhand von Variablen mit einer Gruppenrichtlinie unter "Computer Configuration\Preferences\Control Panel Settings\Local users and Groups"


Tipp Sie können sich die Variablen anzeigen lassen, welche verwendet werden können. Hierzu müssen sie einfach F3 drücken, dadurch öffnet sich ein weiteres Fenster mit den verfügbaren Variablen.















Die Angabe erfolgt in unserem Beispiel mit „LocalAdmin_%ComputerName%“. Hierbei wird keine SID aufgelöst was kein Fehler oder Problem ist. Die SID wird erst aufgelöst, wenn die Gruppe von dem Computer angewendet wird.




















Wichtig ist das die Gruppe bereit in der Active Directory vorhanden ist. Sollte das nicht der Fall sein kommt es zu einer Warnung innerhalb der Ereignisanzeige auf dem Computer, diese kann ignoriert werden.


Event ID: 4098

Source: Group Policy Local Users and Groups

Log Name: Application

Wichtig Sollte man mehrere Gruppen hinterlegen, ist darauf zu achten das die Gruppe mit der Variable („LocalAdmin_%ComputerName%“) an der untersten Stelle steht! Denn sollte die Gruppe nicht aufgelöst werden können, wird die Verarbeitung für diesen Teil abgebrochen! Was zur Folge hat das die anderen Gruppen nicht angewendet werden.

Wenn man nun einige OU Gruppen ausnehmen möchte, kann man zusätzlich mit dem Item-level targeting arbeiten.

Damit ist es zum Beispiel möglich OU Gruppen aus zunehmen auf den man eine nicht so Granulate Berechtigung braucht. Beispiele für solche Anwendungsfälle sind Citrix VDA, RDSH, VDI oder Clients.

Tipp

Darüber hinaus lasst sich mit Item-level targeting eine Zentrale Gruppenrichtlinien bauen welche Local Admin Right für alle ihrer verschiedene Systeme vergibt.


Fazit

Mit einfachen Bordmitteln kann eine solide Berechtigungsstruktur aufbaut werden, welche wiederum flexibel auf fast alle Gegebenheit angepasst werden kann. Durch Group Policy Preferences und Item-level targeting sind fast alle Szenarien abdeckbar.

modernX Logo.png