Least Privileg: Minimale Berechtigungen um Computer ins AD zu joinen

Welche Berechtigungen sind nötig um einen Computer zu einer Domäne hinzuzufügen?

Ein granular ausgearbeitetes Delegationskonzept hat das Ziel, möglichst nur die zur Ausführung der zugewiesenen Rolle benötigten Rechte zuzuweisen.

AD Delegation mit minimalen Berechtigungen

Anders herum beschrieben könnten wir allen Admins Domain Admin Rechte geben und jeder könnte arbeiten. Wollen wir jedoch wirklich jedem Helpdesk Mitarbeiter Domain Admin Rechte geben? Ich denke nicht. Daher stellt sich die Frage, welche Berechtigungen zum Joinen eines Computers wirklich benötigt werden. Gemäß dem principle of least privileg (POLP) möchte ich versuchen die Frage zu beantworten.

Vorrausetzungen für die Delegation

Voraussetzung für diese Delegation ist, dass die Computerobjekte „prestaged“ sind. Bedeutet, dass vorab von zentraler Stelle leere Computerobjekte in der richtigen OU angelegt wurden. Diese Vorgehensweise kann ich nur empfehlen. Ohne „prestaged“ Computerobjekte landen alle Objekte im Computers Container der Domain. (Oder man hat den Standard Container, wie in Tims Artikel beschrieben, geändert) Von dort aus müsste das Computerobjekt noch in die richtige Ziel OU verschoben werden. Um das Computerobjekt in die Ziel OU zu verschieben sind Delete-Berechtigungen auf dem Computers Container sowie Create-Berechtigungen auf der Ziel OU nötig. Diese hohen Berechtigungen sollten vermieden werden.

Minimale Berechtigungen um Computer in die AD Domäne hinzuzufügen

Auf der Ziel OU, in welcher die „prestaged“ Computerobjekte angelegt wurden, sind folgende Delegationen nötig:

Apply to:  Descendant Computer objects
Allow:       Reset password
Allow:       Validated write to DNS host name
Allow:       Validated write to service principal name
Allow:       Read account restrictions
Allow:       Write account restrictions

Weiterführnde Informationen bietet der folgende Microsoft KB Artikel:
https://support.microsoft.com/kb/932455/en-us