• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Active Directory: Temporäre Berechtigungen mit Server 2016

Jun 28, 2016 (Letztes Update) | Posted by Jens Künzler Administration, Konfiguration, PowerShell |

 

Active Directory: Temporäre Berechtigungen mit Server 2016

In meinem vorangegangenen Artikel habe ich beschrieben, wie sich temporäre Berechtigungen in einer Active Directory Domain ab Functional Level W2003 einrichten lassen. Heute möchte ich eine vor kurzem vorgestellte neue Funktion des Windows Server 2016 Active Directory (Technical Preview 4) vorstellen. Mit dieser können temporäre Berechtigungen mit Server 2016 noch eleganter umsetzen werden: Temporary Group Memberships

 

Inhaltsverzeichnis

  • 1 Neue temporäre Berechtigungen mit Server 2016
  • 2 Privileged Access Mangement
  • 3 Temporäre Gruppenmitgliedschaft
    • 3.1 Ausgangslage
    • 3.2 Benutzer temporär zur Gruppe hinzufügen
    • 3.3 Gruppenmitgliedschaft prüfen
    • 3.4 Gruppenmitgliedschaft abgelaufen
  • 4 Kerberos
  • 5 Fazit und Ausblick

Neue temporäre Berechtigungen mit Server 2016

Bei der Lösung mit W2003 Active Directory, wird die Lebensdauer (TTL) einer Gruppe genutzt, um temporäre Berechtigungen einzurichten. Im Gegensatz dazu kann mit Windows Server 2016 Active Directory (Technical Preview 4) die Mitgliedschaft eines Benutzerkontos in einer Gruppe mit einer TTL belegt werden: die Temporary Group Memberships.

Im Folgenden beschreibe ich, wie Temporary Group Memberships verwendet werden können und was dabei zu beachten ist.

Privileged Access Mangement

Um diese neue Funktion nutzen zu können, müssen wir das Privileged Access Mangement Feature im Active Directory Forest aktivieren. Dies ist vergleichbar mit der Aktivierung des Active Directory Recycle Bin unter W2008R2. Einmal aktiviert, kann die Funktion nicht mehr deaktiviert werden. Voraussetzung für die Aktivierung ist ein Forest Functional Level Windows Server 2016 oder auch „Windows Threshold„. Wie man den Forest Functional Level herausfindet, lesen Sie hier: AD Schema: Server 2012 R2 DC in Domäne aufnehmen.

Privileged Access Management Feature

Zur Aktivierung des Privileged Access Mangement Feature nutzt man das PowerShell cmdLet „Enable-ADOptionalFeature„

1
Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target <domain.com>

Temporäre Gruppenmitgliedschaft

Um eine temporäre Gruppenmitgliedschaft definieren zu können, wurde das PowerShell cmdLet „Add-ADGroupMember“ mit dem neuen Parameter „-MemberTimeToLive“ ausgestattet. In unserem Beispiel soll das Benutzerkonto „Jens.Kuenzler“ temporär für 5 Minuten Mitglied der Gruppe „Domain Admins“ sein.
(OK, das ist vielleicht nicht sehr praxisnah, für die Demo aber ausreichend).

Ausgangslage

Das Benutzerkonto ist Mitglied der Gruppe „Domain Users„.
Sonst hat der Account keine weiteren Mitgliedschaften.

vorher

Benutzer temporär zur Gruppe hinzufügen

Das PowerShell cmdLet „Add-ADGroupMember“ wurde mit einem neuen Paramter „-MemberTimeToLive“ ausgestattet:

1
Add-ADGroupMember -Identity "Domain Admins" -Members "Jens.Kuenzler" -MemberTimeToLive (New-TimeSpan -Minutes 5)

Gruppenmitgliedschaft prüfen

Die Gruppenmitgliedschaft lässt sich natürlich mit Active Directory Users and Computer prüfen. Leider wird hier nicht angezeigt, ob eine Mitgliedschaft temporär ist und wie lange der TTL noch dauert.

mitglied

Zur Anzeige der TTL wurde das PowerShell cmdLet „Get-ADGroup“ mit einem neuen Paramter „-ShowMemberTimeToLive“ versehen:

1
Get-ADGroup ‘Domain Admins’ -Property member -ShowMemberTimeToLive 

Die Ausgabe zeigt die Eigenschaft „member“ an, vorangestellt die Information „<TTL=332>„.

1
member            : {&lt;TTL=232&gt;,CN=Jens Künzler,CN=Users,DC=JKDOM2,DC=NET, CN=Administrator,CN=Users,DC=JKDOM2,DC=NET}

ttl332

Gruppenmitgliedschaft abgelaufen

Nachdem die 5 Minuten vergangen sind, wurde das Benutzerkonto automatisch aus der Gruppe entfernt. In den folgenden zwei Screenshots wird dies etwas deutlicher.

TTL1

Im ersten Screenshot ist „Jens Künzler“ mit einer TTL=1 noch Mitglied der Gruppe Domain Admins.

TTL0

In Screenshot zwei ist die TTL abgelaufen und das Benutzerkonto wird nicht mehr als Member aufgeführt.

Kerberos

Um die Sicherheit weiter zur erhöhen, hat Microsoft die Lebensdauer der Kerberos Tickets an die TTL der temporären Berechtigung angepasst. Ohne diese Anpassung würde die Gruppenmitgliedschaft zwar entzogen, allerdings bliebe diese Änderung unwirksam, solange das Kerberos Ticket noch seine Gültigkeit hat. Durch die Erweiterung des Ticket Handling verfällt die Gültigkeit des Kerberos Tickets fast zeitgleich mit dem Ablauf der TTL.

Empfohlener Artikel:
attributbasiert-gruppen-automatisieren

Fazit und Ausblick

Die Erweiterung des Active Directorys um die Privileged Access Mangement Features ermöglicht es Gruppenmitgliedschaften mit einer Lebensdauer / TTL zu versehen. Auf diese Weise können temporäre Berechtigungen mit Server 2016 gezielt vergeben werden. Leider sind Hürden für die Einführung in der Praxis (Windows Server 2016 Forest) noch sehr hoch. Es wird noch einige Zeit vergehen, bis die ersten Domains und Forests im W2016 Forest Functional Level anzutreffen sind. Bis dahin können temporäre Berechtigung durchaus noch mit den aktuellen Möglichkeiten umgesetzt werden: Active Directory: Temporäre Berechtigungen

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 26.04.2016
Tags: GruppentemporärTemporäre BerechtigungTemporary Group Memberships
1

You also might be interested in

Titel-Verschachtelte-Gruppen

Verschachtelung von Gruppen im AD

Apr 20, 2016

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen[...]

Automatische Gruppen Titel

Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

Sep 24, 2015

In Microsofts Active Directory werden Gruppen verwendet, um Berechtigungen und[...]

IsMember-PowerShell

IsMember – Gruppenmitgliedschaft des Benutzers prüfen

Jul 21, 2016

Die Powershell-Funktion „IsMember“ überprüft, ob der Skript-ausführende Anwender Mitglied einer[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • AWS Directory Service: Verwaltete Active Directory-Instanzen in AWS nutzen
  • Windows 365 und Azure AD verstehen in Theorie und Praxis
  • IIS als Reverse Proxy einrichten
  • Sensitivity Labels in Microsoft Teams
  • Azure Active Directory in der Praxis – Die ersten Schritte


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Get-Ad User Letzte Anmeldung – login help bei AD PowerShell Basics 2: Get-ADUser
  • Get-Ad User Letzte Anmeldung – Login Datenbank bei AD PowerShell Basics 2: Get-ADUser
  • AD Telefonnummern automatisch korrigieren - Active Directory FAQ bei AD PowerShell Basics 3: Set-ADUser
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next