Warum man keine dauerhaften Admin-Rechte (z. B. Domain Admin) vergeben sollte
Dauerhafte Admin-Mitgliedschaften führen in der Praxis häufig zu:
- Privilege Creep: Rechte wachsen über Jahre und keiner weiß später noch genau, warum.
- Größerer Schaden bei Kompromittierung: Wird ein privilegiertes Konto übernommen, hat ein Angreifer sofort maximale Wirkung.
- Schwierige Audits/Compliance: „Wer hat wann warum welche Rechte?“ wird zur manuellen Dauerbaustelle.
- Weniger Kontrolle: Wenn Privilegien permanent sind, fehlt der klare Moment der bewussten Aktivierung.
Mit Just in time admin access wird das Standardmodell umgedreht: Standardmäßig wenig Rechte,Privilegien nur kurzzeitig und kontrolliert.
Das AD-Feature: zeitbasierte (temporäre) Gruppenmitgliedschaft via TTL
Seit Windows Server 2016 gibt es im Active Directory – als Bestandteil der PAM Optional Feature – die Möglichkeit, Benutzer mit einer Ablaufzeit (TTL) zu Gruppen hinzuzufügen:
- Benutzer wird einer AD‑Gruppe hinzugefügt für eine definierte Dauer
- Nach Ablauf entfernt AD die Mitgliedschaft automatisch
- Kein „später manuell entfernen“, kein Scheduled Task, keine Aufräum-Skripte
Das ist ein sehr effektiver Baustein für Just in time admin access im klassischen On‑Prem‑AD (insbesondere dort, wo Rechte über Gruppenmitgliedschaften gesteuert werden).
Voraussetzungen und wichtige Hinweise
1) Forest Functional Level: mindestens Windows Server 2016
Prüfen kannst du das z. B. so:
(Get-ADForest).ForestMode
2) PAM Feature aktivieren (Achtung: nicht reversibel)
In vielen Umgebungen ist das PAM‑Feature standardmäßig deaktiviert. Du kannst es per PowerShell prüfen und aktivieren.
Wichtig: Es gibt deutliche Hinweise, dass das Aktivieren nicht rückgängig gemacht werden kann. Plane das bewusst und teste zuerst in einer Lab-Umgebung.
3) TTL wird typischerweise per PowerShell gesetzt
In der AD‑GUI (ADUC / dsa.msc) lässt sich eine TTL‑Mitgliedschaft in der Regel nicht komfortabel setzen. Für den Betrieb brauchst du also Skripte, Automatisierung oder einen Self‑Service‑Prozess.
Praxismodell für Just in time admin access im AD
Ein erprobter Ablauf ist:
- Privileg-Gruppen definieren (z. B. „Server Admins PROD“, „AD Admin – Emergency“, „DNS Admins“)
- Anforderung + Begründung + Dauer festlegen (ggf. mit Genehmigung)
- Benutzer wird mit TTL zur Gruppe hinzugefügt
- TTL wird transparent geprüft (Audit/Transparenz)
- AD entfernt die Mitgliedschaft automatisch
Damit reduzierst du dauerhaft vorhandene Adminrechte deutlich und verhinderst „vergessene“ Gruppenmitgliedschaften.
PowerShell-Beispiel: Benutzer temporär zur AD-Gruppe hinzufügen (Auto-Entzug)
Copy/Paste Beispiel – Domain/Group/User bitte anpassen.
# ------------------------------------------------------------
# Zeitbasierte (temporäre) Gruppenmitgliedschaft im Active Directory
# "Just in time admin access" per Ablaufzeit (TTL) umsetzen
# ------------------------------------------------------------
# 1) Forest Functional Level prüfen (muss Windows Server 2016 oder höher sein)
(Get-ADForest).ForestMode
# 2) Prüfen, ob das PAM Optional Feature aktiv ist
Get-ADOptionalFeature-Filter"name -eq 'privileged access management feature'"
# 3) PAM Optional Feature aktivieren (NUR EINMAL - vorher genau prüfen!)
# Ersetze 'domain.local' durch den DNS-Namen deiner Forest-Root-Domain.
# Enable-ADOptionalFeature 'Privileged Access Management Feature' `
# -Scope ForestOrConfigurationSet `
# -Target domain.local
# 4) Benutzer mit TTL zur Gruppe hinzufügen (Beispiel: 5 Minuten)
$User ="seidlm"
$Group ="TTLGroup"
$ttl =New-TimeSpan-Minutes5
Add-ADGroupMember-Identity$Group-Members$User-MemberTimeToLive$ttl
# 5) Kontrolle: verbleibende TTL (Sekunden) anzeigen
Get-ADGroup$Group-Property member-ShowMemberTimeToLive
Von „Script“ zu sauberem Prozess: PIM mit Self‑Service, Governance & Hybrid-Ansatz
TTL‑Mitgliedschaften sind ein starker AD‑Baustein. Was dir damit allein aber oft noch fehlt:
- Self‑Service Portal für Anfragen
- Genehmigungs-Workflows, Richtlinien (max. Dauer je Gruppe), Eskalationen
- zentrale Auswertungen/Reporting & Audit-Trails
- hybrides Rechtemanagement (On‑Prem AD und Entra ID)
Häufig gestellte Fragen
Just-in-Time-Adminzugriff ist ein Sicherheitsansatz, bei dem erhöhte Berechtigungen (z. B. Domain-Admin-Rechte) nur bei Bedarf und nur für einen begrenzten Zeitraum vergeben werden – statt dauerhaft. Benutzer beantragen Zugriff für eine konkrete Aufgabe, erhalten temporäre Privilegien, und diese Rechte werden automatisch wieder entzogen, sobald die Zeit abläuft. So wird das Zeitfenster der Angriffsfläche minimiert, falls ein Konto kompromittiert wird.
Ja. Wenn du Active Directory PAM mit zeitbasierter Gruppenmitgliedschaft nutzt, entfernt AD Benutzer automatisch aus Gruppen, sobald die TTL (Time-to-Live) abläuft. Es sind keine geplanten Tasks oder manuelle Aufräumarbeiten nötig – das Ablaufdatum wird nativ von den Domänencontrollern verarbeitet.
Nein. Sobald du die optionale Funktion „Privileged Access Management“ in Active Directory aktivierst, kann sie nicht wieder deaktiviert oder zurückgerollt werden. Deshalb empfehlen Microsoft und die meisten AD-Experten, die Funktion vor dem Einsatz in der Produktion gründlich in einer Laborumgebung zu testen.
Ja. EntraID (ehemals Azure AD) bietet Privileged Identity Management (PIM) – allerdings mit zusätzlichen, monatlichen Lizenzkosten. Wenn du eine Single-Platform-Lösung mit Hybrid PIM suchst, könnte die au2mator Hybrid PIM Management Solution interessant sein.
Wenn du Just in time admin access nicht nur technisch, sondern als wiederholbaren, revisionssicheren Prozess etablieren willst, schau dir unsere Lösung an:
