Ansichten:

Erfahren Sie mehr über pseudo-eingeschränkte Domänenadministratoren und wie Sie dieses identitätsbezogene Risiko mindern können.

Pseudo-eingeschränkte Domänenadministratoren sind Benutzerkonten, die nicht zu bestimmten standardmäßigen Active Directory-Sicherheitsgruppen gehören, aber eingeschränkte Domänenverwaltungsrechte besitzen, die einer Mitgliedschaft in den Sicherheitsgruppen entsprechen. Diese Benutzerkonten haben die Rechte indirekt über falsch konfigurierte Active Directory-Zugriffskontrolllisten erworben. Das Vorhandensein dieser Konten könnte potenzielle Risiken in Ihrer Umgebung darstellen.
Die eingeschränkten Domänenverwaltungsrechte entsprechen der Mitgliedschaft in den folgenden standardmäßigen Active Directory-Sicherheitsgruppen:
  • Serverbetreiber
  • Backup-Operator
  • Kontenbetreiber
  • Druckerbediener
  • DNS-Administrator
  • Gruppenrichtlinien-Ersteller-Besitzer
  • Remotedesktopbenutzer
Um das Risiko von pseudo-begrenzten Domänenadministratoren zu mindern, empfiehlt Trend Micro:
  • Pseudo-begrenzte Domänenadministratoren aus allen relevanten Gruppen entfernen, die sensible Berechtigungen gewähren.
  • Wenn es mehrere Beziehungen zwischen einem pseudo-begrenzten Domänenadministrator und einem echten Sicherheitsadministrator gibt, beginnen Sie damit, die Beziehungen zu löschen, die näher am Sicherheitsadministrator liegen.