Ausblenden von Dienstadministratorkonten vor Benutzern


Windows Server 2003 schützt automatisch die wesentlichen Sicherheitsbeschreibungen auf den Service Level-Administratorkonten in der lokalen Domäne. Dies stellt sicher, dass diese Konten nicht durch absichtliche oder versehentliche Änderungen gefährdet werden, die zu einem unbrauchbaren Konto, einer unbrauchbaren Gruppe oder einem unbrauchbaren System führen. Dieser automatisierte Selbstkorrekturmechanismus läuft automatisch auf dem PDC Emulator FSMO DC. Der automatisierte Dienst startet seinen ersten Test und seine erste Korrektur 15 Minuten nach dem Start des Systems und wiederholt ihn danach alle 30 Minuten. Es ist zwar möglich, die von diesem Dienst verwendeten Einstellungen zu ändern, dies wird jedoch nicht empfohlen.

Mit den durch diesen Überprüfungsmechanismus auferlegten Standardeinstellungen können normale Benutzer (dh Mitglieder der Gruppe Authentifizierte Benutzer) die Namen der Benutzerkonten, die Mitglieder der Dienstadministratorgruppen sind, über eine AD-Suchoberfläche oder eine Suchliste anzeigen.

Um diese Konten vor normalen Benutzern zu verbergen, müssen Sie die Sicherheitsbeschreibungen ändern, die vom PDC-Emulator zum Schutz dieser Gruppen verwendet werden. Der Vorgang zum Ausführen dieser Aktivität ist wie folgt:

  1. Deaktivieren Sie den vor Windows 2000 kompatiblen Zugriff für die Domäne.
  2. Erstellen Sie eine neue Benutzergruppe mit dem Namen Serveranwendungen.
  3. Öffnen Sie Active Directory-Benutzer und -Computer
  4. Klicken Sie auf das Menü Ansicht und dann im Dropdown-Menü auf den Befehl Erweiterte Funktionen.
  5. Wählen Sie den Systemcontainer aus.
  6. Wählen Sie das AdminSHolder-Objekt aus, klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften aus dem Einblendmenü.
  7. Wählen Sie die Registerkarte Sicherheit.
  8. Gewähren Sie der Gruppe Serveranwendungen die folgenden Zugriffsberechtigungen für das AdminSHolder-Objekt:
    • Serveranwendungen: Inhalt auflisten – Zulassen – Nur dieses Objekt
    • Serveranwendungen: Alle Eigenschaften lesen – Zulassen – Nur dieses Objekt
    • Serveranwendungen: Leseberechtigungen – Zulassen – Nur dieses Objekt
  9. Entfernen Sie die Elemente Authentifizierte Benutzer und kompatibler Zugriff vor Windows 2000 von der Registerkarte Sicherheit des AdminSHolder-Objekts.
  10. Erwägen Sie, Benutzerkonten zu erteilen, die Mitglieder der Mitgliedschaft in der Dienstadministratorgruppe in der Gruppe Serveranwendungen sind. Dies ist nur erforderlich, wenn diese Benutzer die Mitglieder der Dienstadministratorgruppen sehen müssen.

Jetzt können nur Benutzerkonten mit Mitgliedschaft in der Gruppe “Serveranwendungen” die Mitgliedschaft in den Dienstadministratorgruppen anzeigen.


James Michael Stewart ist Partner und Forscher bei ITinfopros, einer technologieorientierten Schreib- und Schulungsorganisation.

Weitere Informationen zu Microsoft Active Directory-Sicherheit

Similar Posts

Leave a Reply