Active Directory: Temporäre Berechtigungen mit Server 2016

In meinem vorangegangenen Artikel habe ich beschrieben, wie sich temporäre Berechtigungen in einer Active Directory Domain ab Functional Level W2003 einrichten lassen. Heute möchte ich eine vor kurzem vorgestellte neue Funktion des Windows Server 2016 Active Directory (Technical Preview 4) vorstellen. Mit dieser können temporäre Berechtigungen mit Server 2016 noch eleganter umsetzen werden: Temporary Group Memberships

Neue temporäre Berechtigungen mit Server 2016

Bei der Lösung mit W2003 Active Directory, wird die Lebensdauer (TTL) einer Gruppe genutzt, um temporäre Berechtigungen einzurichten. Im Gegensatz dazu kann mit Windows Server 2016 Active Directory (Technical Preview 4) die Mitgliedschaft eines Benutzerkontos in einer Gruppe mit einer TTL belegt werden: die Temporary Group Memberships.

Im Folgenden beschreibe ich, wie Temporary Group Memberships verwendet werden können und was dabei zu beachten ist.

Privileged Access Mangement

Um diese neue Funktion nutzen zu können, müssen wir das Privileged Access Mangement Feature im Active Directory Forest aktivieren. Dies ist vergleichbar mit der Aktivierung des Active Directory Recycle Bin unter W2008R2. Einmal aktiviert, kann die Funktion nicht mehr deaktiviert werden. Voraussetzung für die Aktivierung ist ein Forest Functional Level Windows Server 2016 oder auch “Windows Threshold“. Wie man den Forest Functional Level herausfindet, lesen Sie hier: AD Schema: Server 2012 R2 DC in Domäne aufnehmen.

Zur Aktivierung des Privileged Access Mangement Feature nutzt man das PowerShell cmdLet “Enable-ADOptionalFeature“

Temporäre Gruppenmitgliedschaft

Um eine temporäre Gruppenmitgliedschaft definieren zu können, wurde das PowerShell cmdLet “Add-ADGroupMember” mit dem neuen Parameter “-MemberTimeToLive” ausgestattet. In unserem Beispiel soll das Benutzerkonto “Jens.Kuenzler” temporär für 5 Minuten Mitglied der Gruppe “Domain Admins” sein.
(OK, das ist vielleicht nicht sehr praxisnah, für die Demo aber ausreichend).

Ausgangslage

Das Benutzerkonto ist Mitglied der Gruppe “Domain Users“.
Sonst hat der Account keine weiteren Mitgliedschaften.

Benutzer temporär zur Gruppe hinzufügen

Das PowerShell cmdLet “Add-ADGroupMember” wurde mit einem neuen Paramter “-MemberTimeToLive” ausgestattet:

Gruppenmitgliedschaft prüfen

Die Gruppenmitgliedschaft lässt sich natürlich mit Active Directory Users and Computer prüfen. Leider wird hier nicht angezeigt, ob eine Mitgliedschaft temporär ist und wie lange der TTL noch dauert.

Zur Anzeige der TTL wurde das PowerShell cmdLet “Get-ADGroup” mit einem neuen Paramter “-ShowMemberTimeToLive” versehen:

Die Ausgabe zeigt die Eigenschaft “member” an, vorangestellt die Information “<TTL=332>“.

Gruppenmitgliedschaft abgelaufen

Nachdem die 5 Minuten vergangen sind, wurde das Benutzerkonto automatisch aus der Gruppe entfernt. In den folgenden zwei Screenshots wird dies etwas deutlicher.

Im ersten Screenshot ist “Jens Künzler” mit einer TTL=1 noch Mitglied der Gruppe Domain Admins.

In Screenshot zwei ist die TTL abgelaufen und das Benutzerkonto wird nicht mehr als Member aufgeführt.

Kerberos

Um die Sicherheit weiter zur erhöhen, hat Microsoft die Lebensdauer der Kerberos Tickets an die TTL der temporären Berechtigung angepasst. Ohne diese Anpassung würde die Gruppenmitgliedschaft zwar entzogen, allerdings bliebe diese Änderung unwirksam, solange das Kerberos Ticket noch seine Gültigkeit hat. Durch die Erweiterung des Ticket Handling verfällt die Gültigkeit des Kerberos Tickets fast zeitgleich mit dem Ablauf der TTL.

Empfohlener Artikel:

Fazit und Ausblick

Die Erweiterung des Active Directorys um die Privileged Access Mangement Features ermöglicht es Gruppenmitgliedschaften mit einer Lebensdauer / TTL zu versehen. Auf diese Weise können temporäre Berechtigungen mit Server 2016 gezielt vergeben werden. Leider sind Hürden für die Einführung in der Praxis (Windows Server 2016 Forest) noch sehr hoch. Es wird noch einige Zeit vergehen, bis die ersten Domains und Forests im W2016 Forest Functional Level anzutreffen sind. Bis dahin können temporäre Berechtigung durchaus noch mit den aktuellen Möglichkeiten umgesetzt werden: Active Directory: Temporäre Berechtigungen