Erfahren Sie, welche Active Directory-Identitäten möglicherweise über Standardberechtigungen aufgrund der Mitgliedschaft in Standard-Sicherheitsgruppen verfügen.
Bestimmte Standard-Sicherheitsgruppen in der Active Directory (lokal), die bei der
Erstellung der Domäne erstellt werden, gewähren standardmäßig einen privilegierten
Status. Die Mitgliedschaft in privilegierten Sicherheitsgruppen kann verwendet werden,
um den Zugriff auf gemeinsame Ressourcen zu steuern und administrative Rollen zu delegieren.
Sie sollten privilegierte Identitäten untersuchen, die keinen privilegierten Status
benötigen, um festzustellen, ob die Identitäten Teil privilegierter Gruppen sind.
Entfernen Sie nach Möglichkeit diese Identitäten aus den Gruppen, um die Identity
Posture Ihrer Organisation zu stärken.
Die folgende Tabelle beschreibt die Standard-Sicherheitsgruppen, die privilegierten
Status gewähren.
|
Gruppe
|
Beschreibung
|
|
Kontenoperatoren
|
Kann die meisten Kontotypen erstellen und ändern
|
|
Administratoren
|
Hat uneingeschränkten Zugriff auf Computer oder Domänencontroller
|
|
Sicherungsoperatoren
|
Kann alle Dateien auf einem Computer sichern und wiederherstellen, unabhängig vom
Schutzstatus
|
|
Domänenadministratoren
|
Steuert den Zugriff auf alle Domänencontroller und Administratorkonten in einer Domäne
|
|
Domänencontroller
|
Hat Zugriff auf alle Domänencontroller in einer Domäne
|
|
Enterprise-Administratoren
|
Kann Änderungen im gesamten Wald vornehmen, einschließlich der Hinzufügung von untergeordneten
Domänen
|
|
Druckoperatoren
|
Kann Drucker, die mit Domänencontrollern in der Domäne verbunden sind, verwalten,
erstellen, freigeben und löschen
|
|
Schreibgeschützte Domänencontroller
|
Hat schreibgeschützten Zugriff auf alle Domänencontroller in einer Domäne
|
|
Replikator
|
Kann Dateidaten, einschließlich Systemrichtlinien und Anmeldeskripten, über eine Domäne
replizieren
|
|
Schema-Administratoren
|
Kann das Active Directory-Schema ändern
|
|
Server-Operatoren
|
Kann auf Serverkonfigurationsoptionen auf Domänencontrollern zugreifen und diese ändern;
hat standardmäßig keine Mitglieder
|