Just-in-Time-Administration im Active Directory

Ein "Admin auf Zeit" (Just-in-Time-Admin oder JIT) ist ein Konzept, das in der Sicherheitsstrategie von Microsoft zusammen mit der präzisen Definition der gewährten Rechte (Just Enough Admin oder JEA) die Grundlage dafür bildet, den Angriffsvektor "Administrator-Account" zu minimieren. Bereits seit 2014 propagieren Microsoft-Architekten wie Jeffrey Snover diese Strategie, mit Server 2016 hat sie einen eleganten technischen Unterbau im Active Directory erhalten, den Sie ohne großen Aufwand in Ihrer Umgebung einsetzen können.

Wie die meisten Strategien zur Rechtevergabe in AD-Umgebungen basiert auch JIT auf Gruppen: Der zu berechtigende Account kommt in eine Gruppe, die entweder direkt mit Zugriffsrechten versehen oder ihrerseits Mitglied in Gruppen ist, die die gewünschten Zugriffsrechte wahrnehmen. Eine bekannte Ausprägung dieser Berechtigungsvergabe ist das AGDLP-Prinzip [1]. Es geht also darum, zu einem vorher festgelegten Zeitpunkt die Mitgliedschaftskette zwischen Benutzer und Berechtigungen zu unterbrechen.

JIT per PowerShell

Die einfachste Methode, Gruppenmitgliedschaften zu einem festgelegten Zeitpunkt zu beenden, besteht darin, das Benutzerkonto mit den üblichen Mitteln der AD-Administration aus der Gruppe zu entfernen. Der enstprechende Vorgang kann zeitgesteuert mittels Task Scheduler oder ereignisgesteuert aus einem Orchestrierungs- oder Identity-Management-System heraus ausgelöst werden. Dafür muss das aufrufende Konto über entsprechende Rechte im AD verfügen. Mit Hilfe der PowerShell ist das sehr einfach möglich. Sie benötigen dafür lediglich das Active-Directory-Modul, das Teil der Remoteserver-Verwaltungstools (RSAT) für Active Directory Domain Services ist. Mit

> Add-ADGroupMember -Identity "Gruppe" -Members "User"

fügen Sie einen User einer Gruppe hinzu und mit

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.