Lokale Administratoren auf Client-Computern sind in Windows-Netzwerken ein leidiges, aber nicht immer vermeidbares Thema. Administratoren stehen vor der Herausforderung, die Kontrolle über die Administrationsrechte auf den Client-Computern ihrer Infrastruktur nicht zu verlieren. Aus pragmatischen Gründen neigt man dazu, zu vielen Benutzern auf zu vielen Computern zu viele Rechte einzuräumen. Angesichts der heutigen Bedrohungslage ist dies jedoch als Sicherheitsrisiko anzusehen.
Ziel ist es, den Benutzern nur auf den Rechnern erhöhte Rechte einzuräumen, auf denen dies unbedingt erforderlich ist. Dadurch soll die Ausbreitung (lateral movement) eines Sicherheitsvorfalls, z.B. durch den Diebstahl der Zugangsdaten eines privilegierten Benutzers, erschwert werden.
Group Policy Preferences (GPP)
Im Gruppenrichtlinien-Editor befinden sich die GPPs in der Navigation unter Einstellungen (Preferences), während die GPOs unter Richtlinien (Policies) zu finden sind.
Im Gegensatz zum klassischen GPO (Group Policy Object) erlaubt die GPP (Group Policy Preferences) die Verwendung von Variablen wie %COMPUTERNAME% und dynamische Zielgruppenadressierung (Item-Level Targeting), so dass mit nur einem zentralen GPO individuelle Administratorgruppen pro Rechner gesteuert werden können.
Diese Flexibilität der GPPs ermöglichen es, ein zentrales Richtlinienobjekt auf viele Computer anzuwenden, aber nur unter bestimmten Bedingungen (z.B. bei entsprechendem Computernamen) auszuführen. Im Gegensatz zur GPO-Funktion Eingeschränkte Gruppen, die nur das Ersetzen und Löschen bestehender Gruppenmitglieder unterstützt, bieten GPPs differenzierte Aktionen wie Erstellen, Aktualisieren, Ersetzen und Löschen - ohne destruktiv in bestehende Gruppenstrukturen einzugreifen. Das kann z.B. hilfreich sein, wenn Drittsoftware eigene Service Accounts erstellt.
Vorbereitung
Damit die Zielgruppenadressierung individuell wirksam wird, müssen die Voraussetzungen dafür geschaffen werden. Im konkreten Beispiel der hier beschriebenen Aufgabenstellung benötigt jeder Client-Computer eine Sicherheitsgruppe, die den Computernamen enthält und deren Mitglieder dann der Gruppe der lokalen Administratoren hinzugefügt werden. In dieser Anleitung handelt es sich um folgende Gruppen:
LocAdm-10-PC-1LocAdm-11-PC-1
Wobei 10-PC-1 und 11-PC-1 die Computernamen der betroffenen PCs sind.
GPP-Modul "Lokale Benutzer und Gruppen"
Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen
Register: Lokale Gruppe
Unter dem oben angegebenen Pfad wird ein neues GPP-Objekt vom Typ Lokale Gruppe hinzugefügt. Als Aktion wählen Sie Aktualisieren. Als Gruppenname wählen Sie Administratoren (integriert) und als Mitglieder die zuvor angelegte Sicherheitsgruppe LocAdm-%COMPUTERNAME%, sowie weitere Mitglieder wie z.B. ein allgemeiner Admin it-support, damit die IT-Abteilung einen allgemeinen Benutzer für die Administration zur Verfügung hat, oder die Gruppe der Domänen-Admins, falls gewünscht.
Es ist wichtig, in der Liste der Mitglieder den tatsächlichen Computernamen durch die Variable %COMPUTERNAME% zu ersetzen.
Aktivieren Sie die beiden Checkboxen Alle Mitgliederbenutzer löschen und Alle Mitgliedergruppen löschen. Dadurch werden Änderungen in der Mitgliederliste sauber übernommen und gelöschte Gruppen oder Benutzer auch aus der Gruppe der lokalen Administratoren entfernt.
Das lokale Standardkonto Administrator ist ein geschütztes Konto und kann durch diese Richtlinie nicht entfernt werden.
Beachten Sie, dass die Verarbeitung der Mitgliederliste abbricht, wenn ein Objekt hinzugefügt werden soll, das nicht existiert. Insbesondere lokale Konten, die nicht existieren, stellen hier ein Risiko dar.
Register: Gemeinsam
Aktivieren Sie auf der Registerkarte Gemeinsam die Checkbox Zielgruppenadressierung auf Elementebene und klicken Sie auf den Button Zielgruppenadressierung. Legen Sie dort ein neues Element vom Typ Computername an und geben Sie als Computername die Variable %COMPUTERNAME% an. Aktivieren Sie das Kontrollkästchen für NetBIOS:
Bei NetBIOS vergleicht das Zielelement den angegebenen Namen mit dem NetBIOS-Namen des Computers (wie in der Variablen %COMPUTERNAME% angegeben). Bei DNS löst das Zielelement den angegebenen Namen in eine oder mehrere IP-Adressen auf. Das Zielelement vergleicht dann die Liste der erhaltenen IP-Adressen mit allen IP-Adressen, die an alle Netzwerkadapter auf dem Computer gebunden sind. Bei einer Übereinstimmung gibt das Zielelement den Wert true zurück.
Ablauf der GPP-Verarbeitung auf dem Client
Die Anwendung von Gruppenrichtlinienpräferenzen (GPP) auf einem Client-Computer erfolgt in mehreren Phasen:
- Abruf der Richtlinien:
Beim Systemstart kontaktiert der Client den Domänencontroller, um die für ihn gültigen Gruppenrichtlinienobjekte (GPOs) zu ermitteln. Dazu muss das entsprechende GPO mit der gewünschten GPP an der Organisationseinheit (OU) verlinkt sein, in der sich das Computerobjekt befindet. - Herunterladen der GPOs:
Die relevanten GPOs – einschließlich der GPP-Konfiguration – werden vom Domänencontroller geladen. Die Struktur zur Konfiguration der lokalen Administratorgruppe befindet sich unter:Computerkonfiguration > Einstellungen > Systemsteuerungseinstellungen > Lokale Benutzer und Gruppen. - Verarbeitung der GPP-Einstellungen:
Der Client interpretiert die GPP-Einstellungen. Dabei werden Variablen wie%COMPUTERNAME%aufgelöst, und es wird geprüft, ob die Zielgruppenadressierung (Item-Level Targeting) zutrifft. Nur wenn alle Bedingungen erfüllt sind, wird die Einstellung angewendet. Dies ist beispielsweise der Fall, wenn im Active Directory eine Sicherheitsgruppe mit dem NamenLocAdm-%COMPUTERNAME%existiert, also genau dem Computernamen des Clients entspricht. Diese Gruppe wird dann lokal als Administrator hinzugefügt. - Aktualisierung der lokalen Konfiguration:
Entsprechend der konfigurierten Aktion („Aktualisieren“, „Ersetzen“ etc.) wird z. B. eine AD-Sicherheitsgruppe zur lokalen Administratorgruppe hinzugefügt. - Anwenden der Änderungen:
Die Berechtigungen werden für den Benutzer erst nach einer Abmeldung oder einem Neustart vollständig wirksam, da Gruppenmitgliedschaften beim Erstellen des Benutzertokens beim Login berücksichtigt werden.
Überprüfen des Setups
Um die korrekte Ausführung der GPP zu überprüfen, führen Sie das Kommando whoami /groups auf dem Client aus. Dadurch werden Ihnen alle Gruppen angezeigt in welcher der Benutzer Mitglied ist:
PS C:\Users\pronto02> whoami /groups
GRUPPENINFORMATIONEN
--------------------
Gruppenname Typ SID Attribute
======================================================== =============== ============================================ ===============================================================
Jeder Bekannte Gruppe S-1-1-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Benutzer Alias S-1-5-32-545 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
VORDEFINIERT\Administratoren Alias S-1-5-32-544 Gruppen, die nur zum Ablehnen verwendet wird
NT-AUTORITÄT\INTERAKTIV Bekannte Gruppe S-1-5-4 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
KONSOLENANMELDUNG Bekannte Gruppe S-1-2-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Authentifizierte Benutzer Bekannte Gruppe S-1-5-11 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
NT-AUTORITÄT\Diese Organisation Bekannte Gruppe S-1-5-15 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
LOKAL Bekannte Gruppe S-1-2-0 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
PROSYS\LocAdm-11-PC-1 Gruppe S-1-5-21-982346357-671886523-2725668116-1604 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Von der Authentifizierungsstelle bestätigte ID Bekannte Gruppe S-1-18-1 Verbindliche Gruppe, Standardmäßig aktiviert, Aktivierte Gruppe
Verbindliche Beschriftung\Mittlere Verbindlichkeitsstufe Bezeichnung S-1-16-8192Hinweis zur Wirksamkeit von GPP-basierten Administratorrechten:
Wird ein Benutzer über eine AD-Gruppe (z.B. LocAdm-%COMPUTERNAME%) per GPP in die lokale Administratorgruppe aufgenommen, so wird die Berechtigung erst nach vollständiger Anwendung der Gruppenrichtlinie und anschließender Anmeldung wirksam. Meldet sich der Benutzer unmittelbar nach der Initialisierung der Einstellung zu früh an, enthält sein Sicherheitstoken unter Umständen noch nicht die neue Gruppenzugehörigkeit. In diesem Fall erscheint im UAC-Dialog statt der erwarteten Schaltfläche Ja eine Passwortabfrage.
Lösung: Den Benutzer einmal aus- und wieder einloggen - spätestens dann ist die Gruppenmitgliedschaft wirksam.
