Sie haben die Adminrechte entzogen. Der Benutzer hat sie trotzdem noch.
Stellen Sie sich vor, ein Mitarbeiter wird freigestellt. Sie entfernen ihn aus der Admingruppe. Zwei Minuten später sitzt er noch immer auf dem Fileserver – mit vollen Administratorrechten. Kein Angriff, kein Fehler im Verzeichnis. Windows verhält sich exakt so, wie es entworfen wurde.
Der Grund ist eine Eigenschaft, die kaum jemand auf dem Schirm hat: Ein Access Token wird nie neu bewertet. Ist der Benutzer angemeldet, trägt seine Sitzung die Gruppen-SID in einem Token, das beim Anmelden ausgestellt wurde. Es stirbt mit der Sitzung – nicht mit der Gruppenmitgliedschaft. Sie können die Gruppe löschen, den Benutzer sperren, das Verzeichnis auf den Kopf stellen: Das Token bleibt.
Und selbst wenn Sie die Sitzung beenden, ist es nicht vorbei. Das Kerberos-TGT auf dem Client trägt die Gruppen-SIDs vom Zeitpunkt der Anmeldung. Der KDC kopiert sie beim Ausstellen neuer Service-Tickets aus dem TGT – er liest die Gruppen nicht frisch aus dem Active Directory nach. Solange das TGT lebt, üblicherweise zehn Stunden, kann sich der Benutzer neu verbinden und bringt die entzogene Gruppe wieder mit.
Das ist kein Nischenwissen. Das ist die Grundmechanik, auf der jede Rechtevergabe in Active Directory ruht.
Das eigentliche Problem ist nicht die Vergabe
In vielen Umgebungen bedeutet „wir machen JIT”: Es gibt ein PowerShell-Skript, das jemanden für zwei Stunden in eine Gruppe steckt. Technisch korrekt – und trotzdem entsteht damit meist keine einzige Zeile echter Sicherheit. Denn drei Fragen bleiben unbeantwortet:
Warum die großen Suiten oft die falsche Antwort sind
Es gibt Werkzeuge, die all das lösen. Sie heißen CyberArk, BeyondTrust oder Delinea. Sie sind ausgezeichnet – und sie kommen mit einem Agenten auf jedem Endpunkt, einer Cloud-Konsole und einem Lizenzmodell pro Gerät.
Für einen Konzern ist das richtig. Für ein Unternehmen mit 300 Rechnern, das wegen NIS2, ISO 27001 oder der Cyberversicherung seine Daueradmins loswerden muss, ist es ein fünfstelliges Jahresabo für ein Problem, das Active Directory bereits selbst lösen kann.
Denn seit Windows Server 2016 gibt es das PAM Optional Feature. Damit kennt Active Directory zeitlich begrenzte Gruppenmitgliedschaften nativ: member;TTL. Das Verzeichnis entfernt die Mitgliedschaft selbst – und, das ist der eigentliche Clou, es kürzt die Lebensdauer neu ausgestellter Kerberos-Tickets auf die Restlaufzeit der Mitgliedschaft.
Was daraus entstanden ist
Genau darauf ist der ISW PAM JIT Manager aufgesetzt. Je Computer eine AD-Admingruppe, einmalig per WinRM in die lokale Administratorengruppe eingetragen. Danach passiert die Rechtevergabe ausschließlich im Verzeichnis – auf dem Rechner selbst wird nie wieder etwas geändert. Was dazukommt, ist das, was ein Skript nicht leistet:
Vom Risiko zum Nachweis
Der Verzicht auf dauerhafte Administratorrechte ist kein „Nice to have”. Er ist in den einschlägigen Regelwerken fest verankert – und zwar durchgängig.
BSI IT-Grundschutz
Der Baustein ORP.4 „Identitäts- und Berechtigungsmanagement” fordert, Berechtigungen auf das notwendige Maß zu beschränken, regelmäßig zu überprüfen und dokumentiert zu vergeben. APP.2.2 „Active Directory Domain Services” verlangt darüber hinaus einen restriktiven Umgang mit administrativen Konten und deren Nachvollziehbarkeit. Ein dauerhaft in der lokalen Administratorengruppe hinterlegtes Benutzerkonto widerspricht beidem unmittelbar.
ISO/IEC 27001:2022
Control 8.2 „Privileged access rights” verlangt, privilegierte Zugriffsrechte einzuschränken, zeitlich zu begrenzen und ihre Nutzung zu protokollieren. Die zeitlich begrenzte Vergabe mit Ticketbezug und manipulationsgeschütztem Protokoll adressiert genau diese Anforderung – und liefert im Audit den Beleg dazu.
NIS2 und Cyberversicherungen
Art. 21 der NIS2-Richtlinie verlangt Risikomanagementmaßnahmen einschließlich Zugriffskontrolle und Konzepten für den Umgang mit privilegierten Konten. Und der praktische Treiber kommt derzeit oft von einer ganz anderen Seite: Cyberversicherer fragen im Fragebogen inzwischen ausdrücklich nach Just-in-Time-Administration und dem Verzicht auf permanente lokale Adminrechte.
Was das Werkzeug in der Praxis leistet
- ✓ Kein Agent, keine Cloud. Die Rechtevergabe läuft ausschließlich über Active Directory – auf dem Zielrechner wird nach der Einrichtung nichts mehr verändert.
- ✓ Ablauf durch das Verzeichnis per
member;TTL– inklusive verkürzter Kerberos-Ticketlebensdauer. Ohne PAM-Feature übernimmt die Ablauf-Engine des Werkzeugs. - ✓ Abgleich der lokalen Administratorengruppen – meldet fehlende Admingruppen und fremde lokale Administratoren, die die Zeitbegrenzung umgehen.
- ✓ Ticketpflicht und Begründung bei jeder Vergabe – kein Recht ohne Vorgang.
- ✓ Manipulationsgeschütztes Audit-Protokoll mit SHA-256-Hash-Kette – ohne Funktion zum Bereinigen, denn ein löschbarer Nachweis ist keiner.
- ✓ Individuelle Gruppen – auch Anwendungs- und Rollengruppen ohne Computerbezug lassen sich zeitlich begrenzt vergeben.
- ✓ Berichte in PDF, HTML und Word – Compliance-Nachweis, Vergabe-Historie und Abdeckung der Computer, auf Wunsch per E-Mail.
Für Managed Service Provider ist der letzte Punkt entscheidend: Aus „Wir vergeben Adminrechte nur temporär” wird ein belegbares Quartals-Dokument, das man dem Kunden auf den Tisch legen kann.
Drei Fragen, die jeder Verantwortliche beantworten können sollte
Am Ende geht es nicht um ein Werkzeug, sondern um drei Fragen. Prüfen Sie sie heute – ganz ohne neue Software:
Dauerhafte lokale Administratorrechte sind heute begründungspflichtig – nicht der Normalfall. Active Directory bringt seit Server 2016 alles mit, um sie abzuschaffen: zeitlich begrenzte Gruppenmitgliedschaften, durchgesetzt vom Verzeichnis selbst, ohne Agent und ohne Cloud. Was fehlt, ist die Kontrolle darüber, ob die Vergabe auch wirkt – und der Nachweis, der im Audit standhält. Genau diese Lücke schließt der ISW PAM JIT Manager. Just in Time ist kein Produkt, das man kauft. Es ist eine Eigenschaft, die man nachweisen können muss.

