Windows Serverguide

Active Directory Tier-Modell – privilegierte Konten sichern 2025

Admin-Konten hierarchisch trennen nach Tier 0, 1 und 2

S
SeeColors IT11. Juni 20264 Min. Lesezeit73 Aufrufe

Warum Tier-Modell?

Ohne Tier-Modell:
Admin meldet sich an Workstation an
→ Credentials gecacht (lsass.exe)
→ Malware stiehlt Hash (Pass-the-Hash)
→ Hash wird fuer DC-Login genutzt
→ DOMAIN KOMPROMITTIERT!

Mit Tier-Modell:
Tier-2-Admin darf NUR an Workstations
Tier-1-Admin darf NUR an Servern
Tier-0-Admin darf NUR an Domain Controllern
→ Kompromittierte Workstation = nur Tier-2 exponiert!

Tier-Definitionen

Tier 0 (Kontrollplane):
- Domain Controller
- Zertifizierungsserver (CA)
- Azure AD Connect-Server
- Backup-System fuer Tier-0
Konten: Domain Admins, Enterprise Admins

Tier 1 (Server):
- Anwendungsserver
- Dateiserver
- Datenbankserver
Konten: Server-Admins, Anwendungs-Admins

Tier 2 (Workstations/Endpoints):
- Desktop-PCs, Laptops
- Drucker, IoT
Konten: Helpdesk, Workstation-Admins

Tier-Modell implementieren (GPO)

# OU-Struktur erstellen
New-ADOrganizationalUnit -Name "Tier-0" -Path "DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Tier-1" -Path "DC=firma,DC=local"
New-ADOrganizationalUnit -Name "Tier-2" -Path "DC=firma,DC=local"

# Tier-spezifische Admin-Konten erstellen
New-ADUser -Name "a0-mustermann" `
    -Path "OU=Tier-0,DC=firma,DC=local" `
    -Description "Tier-0 Admin fuer Max Mustermann"

New-ADUser -Name "a1-mustermann" `
    -Path "OU=Tier-1,DC=firma,DC=local" `
    -Description "Tier-1 Admin fuer Max Mustermann"

GPO fuer Tier-Trennung

GPO auf Domain Controller OU:
"Deny logon locally" → Tier-1-Admins, Tier-2-Admins
"Deny logon through Remote Desktop" → Tier-1, Tier-2
"Allow logon locally" → Tier-0-Admins

GPO auf Server-OU:
"Deny logon locally" → Tier-0-Admins, Tier-2-Admins
"Allow logon through RDP" → Tier-1-Admins

GPO auf Workstation-OU:
"Deny logon locally" → Tier-0-Admins, Tier-1-Admins
"Allow logon locally" → Tier-2-Admins

PAW (Privileged Access Workstation)

PAW = Dedizierter, gehaerteter Computer fuer Admin-Arbeit

Tier-0 PAW:
- Eigener physischer PC (nicht geshared!)
- Nur DC-Verwaltung
- Kein E-Mail, kein Browser
- Gehaertete Konfiguration (AppLocker, WDAC)

Minimale PAW-Anforderungen:
- BitLocker
- TPM 2.0
- UEFI Secure Boot
- Kein Local Admin fuer normale Benutzer
- Defender fuer Endpoint

FAQ

Ist das Tier-Modell auch fuer kleine Firmen sinnvoll?
Ja. Auch 10-Personen-Firmen werden angegriffen. Minimal: Separate Admin-Konten (a-mustermann) die NICHT fuer E-Mail oder Internet genutzt werden.

Fazit

Das Tier-Modell ist der wichtigste Schutzmechanismus gegen Pass-the-Hash und Lateral Movement in Active-Directory-Umgebungen.

Active Directory Sicherheit fuer KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Beratung anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#Sicherheit#Active Directory#PAM#Tier-Modell

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

WSUS – Windows Updates zentral verwalten 2025

4 Min.

IIS – Windows Webserver mit ASP.NET konfigurieren 2025

4 Min.