Ein "Admin auf Zeit" (Just-in-Time-Admin oder JIT) ist ein Konzept, das in der Sicherheitsstrategie von Microsoft zusammen mit der präzisen Definition der gewährten Rechte (Just Enough Admin oder JEA) die Grundlage dafür bildet, den Angriffsvektor "Administrator-Account" zu minimieren. Bereits seit 2014 propagieren Microsoft-Architekten wie Jeffrey Snover diese Strategie, mit Server 2016 hat sie einen eleganten technischen Unterbau im Active Directory erhalten, den Sie ohne großen Aufwand in Ihrer Umgebung einsetzen können.
Wie die meisten Strategien zur Rechtevergabe in AD-Umgebungen basiert auch JIT auf Gruppen: Der zu berechtigende Account kommt in eine Gruppe, die entweder direkt mit Zugriffsrechten versehen oder ihrerseits Mitglied in Gruppen ist, die die gewünschten Zugriffsrechte wahrnehmen. Eine bekannte Ausprägung dieser Berechtigungsvergabe ist das AGDLP-Prinzip [1]. Es geht also darum, zu einem vorher festgelegten Zeitpunkt die Mitgliedschaftskette zwischen Benutzer und Berechtigungen zu unterbrechen.
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.