Oft gibt es in Active-Directory-Umgebungen zu viele Benutzerkonten mit weitreichenden administrativen Berechtigungen. In diesen Bereich fallen Benutzerkonten normaler Benutzer, denen zu Test- oder Installationszwecken mal eben administrative Berechtigungen erteilt wurden. Aber auch Dienstkonten, bei denen die IT-Abteilung nicht sicher ist, welche Berechtigungen diese Konten benötigen, sind hier ein Thema. Nicht zuletzt sind die Mitarbeitern der IT-Abteilung zu nennen, die Domänen-Administratoren sind, weil ja die Möglichkeit besteht, dass der IT-Mitarbeiter administrativ in der Domäne aktiv werden muss.
Privilegierte Benutzerkonten und -Gruppen in Windows-Umgebungen [1] besitzen ausreichende Berechtigungen und Rechte, um administrative Tätigkeiten im AD und bei AD-Domänenmitgliedern auszuführen. Zu den privilegierten Benutzerkonten und -Gruppen zählen die Domänen-, Organisations- und Schema-Administratoren, aber auch Benutzerkonten wie die Backupadministratoren oder Kontenoperatoren.
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.