Verwaltung der lokalen Administratoren

12.01.2013 | Autor: Mark Heitbrink

... und es gibt sie doch!

Natürlich kommt man in einem Netzwerk nicht ohne Administratoren aus, das ist völlig unmöglich. Es gibt immer jemanden der die Computer verwalten muss.

Es geht nur darum, daß ich die Anzahl der Administratoren auf das Notwendige Minimum reduziere, das kein Wildwuchs entsteht und das ich das am Ende auch noch reporten kann. 

Was passiert im normalen Tagesgeschäft?

  • Ihr kriegt einen Supportcall von einem eurer Anwenden und sucht nach dem Fehler. Einer der Standard Lösungsansätze, die jetzt aus dem Hut gezaubert werden, ist: Ihr macht den Benutzer zum Administrator und schaut ob der beschriebene Fehler noch auftaucht.

  • In vielen Fällen ist der Fehler damit nicht gelöst und noch vorhanden, also geht die Suche weiter. Das zieht sich über eine gewisse Zeit hin, jetzt kommen diverse zwischendrin Anrufe hinzu, der Kollege fragt nach irgendwas anderem, der Chef kommt rein und möchte was usw. Am Ende des Tages blinkt da noch ein kleiner Gedanke im Hinterkopf, der sagt: "Du musst den Uswwer noch aus der Gruppe der Administratoren entfernen" ... aber der Gedanke wird nicht in die Tat umgesetzt, weil irgendwas dazwischen kommt. Business as usual :-( 

  • Ihr verwendet für alle Workstations dasgleiche Kennwort. Das spricht sich irgendwann rum, weil man es dem einen gibt, dann dem anderen, alle geloben Verschwiegenheit, am Ende kennt es jeder. 

  • Ihr macht Benutzer aus Faulheit zu Administratoren, damit diverse Drittanbieter Software funktioniert oder damit die lästigen Anrufe aufhören: "Die Software will ein Update machen ...", "Ich brauchen unbedingt Software X", "Ich habe für meinen Heimarbeitsplatz den Drucker Y gekauft"

  • Ihr seit eine kleine Firma, da kennt jeder jeden, da passiert schon nichts, wenn alle Administratoren sind ...

So oder so ähnlich spielt es sich immer wieder ab

Was müssen wir tun und realisieren? Aufgabenstellung:

  1. Benutzer sollen nur Benutzer sein, diese müssen Arbeiten können, also muss die Software funktionieren. Leichte Aufgabe: Zentrale Vergabe Lokaler Berechtigungen, fertig.   Aber jetzt wirds schwieriger.

  2. Der Wildwuchs und unkontrollierte Zustand, den keiner so genau kennt muss aufgeräumt werden

  3. Ein Angriff auf das System, zB über die Offline Manipulation der utilman.exe sollte, wenn er schon nicht erkannt wird, wieder rückgängig gemacht werden. 

  4. Ein "vergessener" Administrator soll automatisch wieder entfernt werden

  5. Nur spezielle von uns definierte Gruppen oder Benutzer sind in der Lokalen Gruppe der Administratoren

  6. Es soll auch 1zu1 Zuordnungen geben, zB soll "Willi" an "Willis-PC" Administrator sein, aber nicht an dem PC von "Dieter"

  7. Auditsicherheit und ein übersichtliches Reporting müssen möglich sein.

Lösung:

Wir schmeissen bei JEDEM! Gruppenrichtlinien Prozess alle Administratoren einfach raus!
Wir übernehmen in demselben Prozess die definierten Einstellungen erneut, d.h. alle 90 Minuten +-30 wird unsere Definition am Client angewendet. Wer "ausversehen" zur Gruppe der Administratoren gehört ist es nach spätestens 2 Stunden nicht mehr, bzw. sobald seine Sitzung beendet ist.

Es findet in einer GPO statt, damit ist das Reporting für das Audit schnell erledigt. Die Liste, die wir erstellen ist verlässlich, da der Gruppenrichtlinien Prozess als solcher, als verlässlich (reliable) gilt. Mit anderen Worten: wenn der GPO Prozess keine Fehler meldet, dann ist unsere Einstellungen definitiv gesetzt.

Die 1zu1 Zurordnung ist über Item Level Targeting (Zielgruppenadressierung auf Elementebene) ein leichtes Spiel.

Denkanstoss: Müssen DOMÄNEN-ADMINS lokale Administratoren sein?

Ich denke NEIN.

Es gibt Workstation-Admins, Server-Admins und Domänen-Admins, Domänen-Admins dürfen das komplette AD verwalten, aber deswegen müssen sie nicht automatisch alle Clients verwalten dürfen. Sie sind nur deswegen Mitglieder der Gruppe Administratoren, damit es überhaupt "Out-of-the-box" möglich ist, das es eine Person gibt, die "alles" darf.

Es gibt sicherlich Netzwerke in denen sich die Aufgabe "Workstation-Admin" und "Domänen-Admin" einer Person überschneidet, aber trotzdem empfehle ich: Domänen-Admins sein keine Administratoren auf den Workstations und Server, nur auf den Domänen-Controllern. Ich erstelle eine eigene Gruppe "Workstation-Admins(Co-Admins" und mache diese für die passende Computergruppe zu Administratoren. Am Ende könnt ihr ja immer noch euren Admin-Account in diese Gruppe aufnehmen und dann ist der "Administrator der Domäne" auch wieder Administrator auf jedem Rechner. In dem Moment ist aber eine Trennung möglich dieser Aufgaben und euer Praktikant, der hilft die Rechner zu installieren, muss jetzt nicht mehr Domänen-Admin Rechte haben ... ;-)

OK, das war ganz viel Text. Jetzt gehts los.

Schritt 1: Wahl des richtigen Werkzeugs:
Computerkonfiguration\Einstellungen\Systemsteuerungseinstellungen\Lokale Benutzer und Gruppen
-> Neue Gruppe

Schritt 2:

  • Gruppe der BuitlIn Administratoren (integriert) über das Dropdown auswählen, das funktioniert für jede Sprache, denn diese "Integriert" Gruppe wird automatisch über die Wellknown SID ausgelöst.
  • Alle Mitglieder löschen, Don´t Panic:: der Administrator Account wird niemals entfernt. Das ist technisch nicht möglich. Wir löschen nur alle anderen.
  • Logische Konsequenz: Domänen-Admins werden entfernt, jeder der nicht reingehört wird entfernt.

Schritt 3: 

  • Wir fügen unsere Co-Admins hinzu. Wichtig ist, diese Gruppe muss über "Durchsuchen" hinzugefügt werden, damit deren SID der Domäne aufgelöst wird. Die GPP kann die Gruppe nur anhand der SID übernehmen, am Namen allein würde sie scheitern. Namen sind nur Schall und Rauch, die SID ist eindeutig und kann nicht geändert werden. Das ist der Grund.

Schritt 4:

  • Wie unter Schritt 3: "Willi" hinzufügen, jetzt wäre er Administrator an allen Computern, die diese Richtlinie übernehmen. Das wollen wir (in diesem Fall) nicht, deswegen schränken wir das auf ein spezielles Computerobjekt ein
  • 1zu1 Zuordnung über den Tab: Gemeinsam -> Zielgruppenadressierung auf Elementebene
  • Beim Computernamen wird keine SID rausgesucht, was dazu führt, das man bei passendem Namenskonzept der Computer auch mit "*" und "?" als Zeichenersatz arbeiten kann, z.B.: Alle Computer "NB*", oder alle "TermServer*", oder für Entwickler alle "VPC-Entwicklername-00*", dann könnes es beliebig viel virtuelle Systeme für den Entwickler sein.