Active Directory.pdf - Gattner

304 Kapitel 8: Active Directory-Domänendienstsicherheit
Konfigurieren der Standard-Domänencontrollerrichtlinie
Zusätzlich zum Verringern der Angriffsfläche von Domänencontrollern können Sie auch Gruppenrichtlinien
zum Erhöhen der Sicherheit Ihrer Domänencontrollerbereitstellung einsetzen. Bei der
Bereitstellung einer Windows Server 2008-Domäne werden die beiden folgenden Standard-GPOs
erstellt und auf die Domäne sowie auf die OU Domain Controllers angewandt:
• Standarddomänenrichtlinie, die mit dem Domänenobjekt verknüpft wird und sich durch Richtlinienvererbung
auf alle Benutzer und Computer in der Domäne auswirkt (einschließlich Computer,
die als Domänencontroller eingesetzt werden).
• Standard-Domänencontrollerrichtlinie, die mit der OU Domain Controllers verknüpft ist. Diese
Richtlinie betrifft generell nur Domänencontroller, da standardmäßig Computerkonten für Domänencontroller
in der OU Domain Controllers abgelegt werden.
Sie können Sicherheitsrichtlinien sowohl über die Standarddomänenrichtlinie als auch über die
Standard-Domänencontrollerrichtlinie konfigurieren. Standardmäßig werden alle auf Domänenebene
definierten Richtlinien von OUs in der Domäne übernommen, sofern die Richtlinienvererbung nicht
blockiert ist oder eine mit der OU verknüpfte Richtlinie keine Einstellungen enthält, welche die
Domänenrichtlinien außer Kraft setzen. Durch Anwenden der spezifischen Sicherheitseinstellungen
für Domänencontroller in der Standard-Domänencontrollerrichtlinie oder in einem anderen GPO, das
mit der OU Domain Controllers verknüpft ist, können Sie Sicherheitsrichtlinieneinstellungen anwenden,
die speziell für Domänencontroller, jedoch nicht für alle Benutzer, Gruppen und Computer in der
Domäne gelten.
Hinweis Dieses Kapitel befasst sich hauptsächlich mit der Domänencontrollersicherheit, daher legen wir
den Schwerpunkt auf Einstellungen, die in der Standard-Domänencontrollerrichtlinie zur Verfügung stehen.
Einzelheiten zur Konfiguration der Sicherheitseinstellungen in der Standarddomänenrichtlinie finden Sie in
Kapitel 13. Einzelheiten zur Konfiguration der Gruppenrichtlinien, einschließlich der Konfiguration von Gruppenrichtlinienverknüpfungen
und -vererbung, finden Sie in Kapitel 11, „Einführung in Gruppenrichtlinien“.
Konfigurieren von Überwachungsrichtlinieneinstellungen für Domänencontroller
Eine der Hauptkomponenten in einer Sicherheitsrichtlinie für Domänencontroller ist die Überwachung
von Änderungen, die an Domänencontrollern vorgenommen werden. Durch die Überwachung der an
Domänencontrollern vorgenommenen Änderungen können Sie herausfinden, wer für Verzeichnisänderungen
verantwortlich ist und wann die Änderungen durchgeführt wurden.
In Windows Server 2008 werden einige wichtige Änderungen an der Überwachung von Domänencontrollern
eingeführt. In Windows 2000 Server und Windows Server 2003 gab es eine Überwachungsrichtlinie
Verzeichnisdienstzugriff überwachen, mit der man steuern konnte, ob die Überwachung von
Verzeichnisdienstereignissen aktiviert oder deaktiviert war. Unter Windows Server 2008 ist diese
Richtlinie in vier Unterkategorien unterteilt:
• Verzeichnisdienstzugriff
• Verzeichnisdienständerungen
• Verzeichnisdienstreplikation
• Detaillierte Verzeichnisdienstreplikation