<\/li>\n\n\n\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n
<\/p>\n\n\n\n
Mit Just in time admin access wird das Standardmodell umgedreht: Standardm\u00e4\u00dfig wenig Rechte,Privilegien nur kurzzeitig und kontrolliert.<\/p>\n\n\n\n
\n\n\n\n
Das AD-Feature: zeitbasierte (tempor\u00e4re) Gruppenmitgliedschaft via TTL<\/h2>\n\n\n\n
Seit Windows Server 2016 gibt es im Active Directory \u2013 als Bestandteil der PAM Optional Feature \u2013 die M\u00f6glichkeit, Benutzer mit einer Ablaufzeit (TTL) zu Gruppen hinzuzuf\u00fcgen:<\/p>\n\n\n\n
- \n
- Benutzer wird einer AD\u2011Gruppe hinzugef\u00fcgt f\u00fcr eine definierte Dauer<\/strong><\/li>\n\n\n\n
- Nach Ablauf entfernt AD die Mitgliedschaft automatisch<\/strong><\/li>\n\n\n\n
- Kein \u201esp\u00e4ter manuell entfernen\u201c, kein Scheduled Task, keine Aufr\u00e4um-Skripte<\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
Das ist ein sehr effektiver Baustein f\u00fcr Just in time admin access im klassischen On\u2011Prem\u2011AD (insbesondere dort, wo Rechte \u00fcber Gruppenmitgliedschaften gesteuert werden).<\/p>\n\n\n\n
\n\n\n\nVoraussetzungen und wichtige Hinweise<\/h2>\n\n\n\n
1) Forest Functional Level: mindestens Windows Server 2016<\/h3>\n\n\n\n
Pr\u00fcfen kannst du das z. B. so:<\/p>\n\n\n\n
- \n
(Get-ADForest).ForestMode<\/code><\/code><\/li>\n<\/ul>\n\n\n\n<\/p>\n\n\n\n
![\"\"](\"https:\/\/au2mator.webtrics.at\/wp-content\/uploads\/2026\/01\/just-in-time-admin-access.webp\")
<\/figure>\n\n\n\n<\/p>\n\n\n\n
2) PAM Feature aktivieren (Achtung: nicht reversibel)<\/h3>\n\n\n\n
In vielen Umgebungen ist das PAM\u2011Feature standardm\u00e4\u00dfig deaktiviert. Du kannst es per PowerShell pr\u00fcfen und aktivieren.<\/p>\n\n\n\n
Wichtig: Es gibt deutliche Hinweise, dass das Aktivieren nicht r\u00fcckg\u00e4ngig<\/strong> gemacht werden kann. Plane das bewusst und teste zuerst in einer Lab-Umgebung.<\/p>\n\n\n\n
<\/p>\n\n\n\n
3) TTL wird typischerweise per PowerShell gesetzt<\/h3>\n\n\n\n
In der AD\u2011GUI (ADUC \/ dsa.msc) l\u00e4sst sich eine TTL\u2011Mitgliedschaft in der Regel nicht komfortabel setzen. F\u00fcr den Betrieb brauchst du also Skripte, Automatisierung oder einen Self\u2011Service\u2011Prozess.<\/p>\n\n\n\n
\n\n\n\nPraxismodell f\u00fcr Just in time admin access im AD<\/h2>\n\n\n\n
Ein erprobter Ablauf ist:<\/p>\n\n\n\n
- \n
- Privileg-Gruppen definieren<\/strong> (z. B. \u201eServer Admins PROD\u201c, \u201eAD Admin \u2013 Emergency\u201c, \u201eDNS Admins\u201c)<\/li>\n\n\n\n
- Anforderung + Begr\u00fcndung + Dauer<\/strong> festlegen (ggf. mit Genehmigung)<\/li>\n\n\n\n
- Benutzer wird mit TTL<\/strong> zur Gruppe hinzugef\u00fcgt<\/li>\n\n\n\n
- TTL wird transparent gepr\u00fcft (Audit\/Transparenz)<\/li>\n\n\n\n
- AD entfernt die Mitgliedschaft automatisch<\/strong><\/li>\n<\/ol>\n\n\n\n
<\/p>\n\n\n\n
Damit reduzierst du dauerhaft vorhandene Adminrechte deutlich und verhinderst \u201evergessene\u201c Gruppenmitgliedschaften.<\/p>\n\n\n\n
\n\n\n\nPowerShell-Beispiel: Benutzer tempor\u00e4r zur AD-Gruppe hinzuf\u00fcgen (Auto-Entzug)<\/h2>\n\n\n\n
Copy\/Paste Beispiel \u2013 Domain\/Group\/User bitte anpassen.<\/p>\n\n\n\n
<\/p>\n\n\n\n
\n# ------------------------------------------------------------\n# Zeitbasierte (tempor\u00e4re) Gruppenmitgliedschaft im Active Directory\n# \"Just in time admin access\" per Ablaufzeit (TTL) umsetzen\n# ------------------------------------------------------------\n\n# 1) Forest Functional Level pr\u00fcfen (muss Windows Server 2016 oder h\u00f6her sein)\n(Get-ADForest).ForestMode\n\n# 2) Pr\u00fcfen, ob das PAM Optional Feature aktiv ist\nGet-ADOptionalFeature-Filter\"name -eq 'privileged access management feature'\"\n\n# 3) PAM Optional Feature aktivieren (NUR EINMAL - vorher genau pr\u00fcfen!)\n# Ersetze 'domain.local' durch den DNS-Namen deiner Forest-Root-Domain.\n# Enable-ADOptionalFeature 'Privileged Access Management Feature' `\n# -Scope ForestOrConfigurationSet `\n# -Target domain.local\n\n# 4) Benutzer mit TTL zur Gruppe hinzuf\u00fcgen (Beispiel: 5 Minuten)\n$User =\"seidlm\"\n$Group =\"TTLGroup\"\n$ttl =New-TimeSpan-Minutes5\n\nAdd-ADGroupMember-Identity$Group-Members$User-MemberTimeToLive$ttl\n\n# 5) Kontrolle: verbleibende TTL (Sekunden) anzeigen\nGet-ADGroup$Group-Property member-ShowMemberTimeToLive\n<\/code><\/pre>\n\n\n\n
\n\n\n\n![\"\"](\"https:\/\/au2mator.webtrics.at\/wp-content\/uploads\/2026\/01\/when-adttl-is-not-enough.webp\")
<\/figure>\n\n\n\nVon \u201eScript\u201c zu sauberem Prozess: PIM mit Self\u2011Service, Governance & Hybrid-Ansatz<\/h2>\n\n\n\n
TTL\u2011Mitgliedschaften sind ein starker AD\u2011Baustein. Was dir damit allein aber oft noch fehlt:<\/p>\n\n\n\n
- \n
- Self\u2011Service Portal f\u00fcr Anfragen<\/li>\n\n\n\n
- Genehmigungs-Workflows, Richtlinien (max. Dauer je Gruppe), Eskalationen<\/li>\n\n\n\n
- zentrale Auswertungen\/Reporting & Audit-Trails<\/li>\n\n\n\n
- hybrides Rechtemanagement (On\u2011Prem AD und<\/strong> Entra ID)<\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
\n\n\n\nH\u00e4ufig gestellte Fragen<\/h2>\n\n\n\n
- Anforderung + Begr\u00fcndung + Dauer<\/strong> festlegen (ggf. mit Genehmigung)<\/li>\n\n\n\n
- Privileg-Gruppen definieren<\/strong> (z. B. \u201eServer Admins PROD\u201c, \u201eAD Admin \u2013 Emergency\u201c, \u201eDNS Admins\u201c)<\/li>\n\n\n\n
- Nach Ablauf entfernt AD die Mitgliedschaft automatisch<\/strong><\/li>\n\n\n\n