Active Directory-Benutzerrechte für Windows-Domänencontroller und -Server

Wenn Sie eine Aufgabe auf einem Windows-Computer ausführen, wird diese Aufgabe normalerweise durch Benutzerrechte gesteuert, die wiederum von jedem Server einzeln gesteuert werden. Zu den häufigsten Benutzerrechten, mit denen Sie vertraut geworden sind, gehören die lokale Anmeldung, der Zugriff auf Sicherungsdateien und -ordner sowie der Zugriff auf den Computer über das Netzwerk.

Es gibt jedoch einige Benutzerrechte, die kritischer sind als andere, da sie wichtige Aspekte des Servers steuern, die ein Angreifer ausnutzen könnte. In diesem Tipp werde ich auf einige Einstellungen hinweisen, die sich für Domänencontroller und Mitgliedsserver unterscheiden.

Benutzerrechte des Domänencontrollers

Die Benutzerrechte für Domänencontroller und Mitgliedsserver unterscheiden sich aufgrund des Standardverhaltens des Domänencontrollers in Active Directory. Die Standardbenutzerrechte von Domänencontrollern werden durch eines der beiden Standardrichtlinienobjekte (Group Policy Objects, GPOs) festgelegt, die bei jeder Installation von Active Directory enthalten sind. Die Standardrichtlinie für Domänencontroller ist das Gruppenrichtlinienobjekt, das für die Einrichtung der Benutzerrechte auf einem Domänencontroller verantwortlich ist, wenn dieser in die Domäne eingegeben wird.

Zulassen der lokalen Anmeldung Benutzerrecht

Es gibt einige Benutzerrechte, die die Standarddomänencontroller-Richtlinie für Domänencontroller festlegt, die Sie möglicherweise für Ihre Mitgliedsserver berücksichtigen möchten. Bei Domänencontrollern erhalten nur Gruppen vom Typ “Administrator” die Berechtigung, sich an der Konsole anzumelden. Dies hilft, den Domänencontroller vor jedem Benutzer zu schützen, der sich auf diese Weise anmeldet. Da jedoch keine Gruppenrichtlinienobjekte von Active Directory vorhanden sind, die die Standardbenutzerrechte für Mitgliedsserver ändern, kann sich jeder Benutzer lokal bei einem Windows 2000- oder Windows Server 2003-Mitgliedsserver anmelden. Dies schließt Ihre Server ein, die HR- und Finanzdaten enthalten.

Anmeldung über Terminaldienste zulassen

Wenn Sie einen Windows 2000-Server ausführen, der für das Zulassen von Terminaldienstesitzungen konfiguriert ist, müssen Sie den Verbindungsbenutzern das Benutzerrecht “Lokale Anmeldung zulassen” erteilen. Dies ist natürlich keine gewünschte Konfiguration, sondern eine obligatorische Konfiguration, um diese Verbindungen zuzulassen. Da Microsoft wusste, dass dies ein Sicherheitsproblem war, fügte es ein neues Benutzerrecht für Windows XP- und Windows Server 2003-Computer hinzu. Das Benutzerrecht lautet “Anmeldung über Terminaldienste zulassen”. Mit diesem neuen Recht können Benutzer eine Verbindung zu einer Terminaldienstesitzung herstellen, ohne sich lokal anmelden zu dürfen.

Zusammenfassung

Benutzerrechte sind für jeden Windows-Computer im Netzwerk wichtig. Sie bieten Steuerelemente, mit denen ein Benutzer Aufgaben auf jedem Computer ausführen oder verweigern kann. Benutzerrechte sind in den meisten Fällen mit Sicherheitsbereichen des Computers verbunden, einschließlich lokalem Zugriff, Zugriff über das Netzwerk und sogar Sicherung der auf dem Server befindlichen Dateien. Windows-Domänencontroller erhalten aufgrund der Standardrichtlinie für Domänencontroller sicherere Benutzerrechte. Mitgliedsserver haben jedoch für viele Benutzerrechte die unsichere Standardkonfiguration. Wenn Sie wissen, dass es einen Unterschied gibt, können Sie alle Computer besser schützen. Das Wissen, dass es neue Benutzerrechte für die neueren Betriebssysteme gibt, bietet Einblicke, die Sie möglicherweise dazu ermutigen, auf das neueste Betriebssystem zu aktualisieren, um bessere Sicherheitsoptionen zu erhalten.


Derek Melber, MCSE, MVP und CISM, ist Director of Compliance Solutions bei DesktopStandard Corp. Er hat die einzigen Bücher zur Prüfung der Windows-Sicherheit geschrieben, die unter verfügbar sind Das Institut für Interne Revision Buchhandlung, und er schrieb auch die Gruppenrichtlinienhandbuch
für Microsoft Press – das einzige Buch, das Microsoft über Gruppenrichtlinien geschrieben hat. Sie können Melber unter kontaktieren [email protected].


Weitere Informationen unter SearchWinIT.com

Similar Posts

Leave a Reply