Active Directory Tiering-Modell
Sicherheitsarchitektur, die Active Directory in drei strikt getrennte Verwaltungsebenen (Tier 0, 1, 2) aufteilt, um laterale Bewegung von Angreifern zu verhindern.
Das Tiering-Modell ist das wichtigste Architekturprinzip zur Absicherung von Active Directory. Es teilt die IT-Umgebung in drei strikt getrennte Verwaltungsebenen — Tier 0 (Identitätssteuerung), Tier 1 (Server und Anwendungen) und Tier 2 (Endgeräte und Nutzer). Die zentrale Regel: Credentials einer höheren Ebene dürfen niemals auf einer niedrigeren Ebene verwendet werden. Damit unterbricht das Modell den häufigsten Angriffspfad, bei dem sich Angreifer über kompromittierte Endgeräte bis zur vollständigen Domänenübernahme vorarbeiten.
Die drei Tiers im Detail
| Tier | Bezeichnung | Enthaltene Systeme | Beispiel-Konten |
|---|---|---|---|
| Tier 0 | Identitätssteuerung | Domain Controller, AD-Adminkonten, PKI/Zertifizierungsstellen, Azure AD Connect, ADFS | Domain Admins, Enterprise Admins, Schema Admins |
| Tier 1 | Server & Anwendungen | Dateiserver, SQL-Server, Exchange, ERP-Systeme, Backup-Server | Server-Admins, Datenbank-Admins, Anwendungsadmins |
| Tier 2 | Endgeräte | Arbeitsplatzrechner, Laptops, mobile Geräte, Drucker | Helpdesk-Admins, lokale Administratoren (LAPS-verwaltet) |
Die Zuordnung ist nicht immer eindeutig. Ein Backup-Server, der Domain-Controller-Backups speichert, enthält faktisch Tier-0-Daten und muss entsprechend geschützt werden. Azure AD Connect synchronisiert Identitäten in die Cloud und ist damit ebenfalls ein Tier-0-System — obwohl es technisch auf einem Server installiert ist.
Die goldene Regel: Kein Credential-Fluss nach unten
Der Kern des Modells ist eine einfache, aber strikt durchzusetzende Regel: Tier-0-Konten melden sich ausschließlich an Tier-0-Systemen an, Tier-1-Konten ausschließlich an Tier-1-Systemen, und Tier-2-Konten an Tier-2-Systemen. Umgekehrt formuliert: Ein Domain-Admin darf sich niemals an einem Arbeitsplatzrechner anmelden, und ein Server-Admin darf seine Tier-1-Credentials nicht auf einem Endgerät verwenden.
Wird diese Regel verletzt, hinterlässt das Konto Credential-Material (NTLM-Hashes, Kerberos-Tickets) auf dem System niedrigerer Ebene. Ein Angreifer, der dieses System kompromittiert, kann diese Credentials extrahieren und für Pass-the-Hash-Angriffe oder Kerberoasting nutzen — und sich damit direkt auf die höhere Ebene bewegen.
Warum Tiering unverzichtbar ist
Ohne Tiering kann ein kompromittierter Arbeitsplatz zum vollständigen Kontrollverlust über die gesamte IT führen. Der typische Angriffsweg: Ein Nutzer öffnet eine Phishing-Mail auf seinem Arbeitsplatz (Tier 2), der Angreifer eskaliert lokale Rechte, findet gecachte Domain-Admin-Credentials und bewegt sich per Lateral Movement direkt zum Domain Controller (Tier 0). Dieser Angriffsweg funktioniert, weil in vielen Umgebungen Domain Admins ihre Konten für alltägliche Server-Wartung oder sogar Helpdesk-Aufgaben verwenden.
Das Tiering-Modell unterbricht diese Kette an der entscheidenden Stelle: Wenn Tier-0-Credentials niemals auf Tier-2-Systemen vorhanden sind, kann ein Angreifer sie dort auch nicht extrahieren.
Technische Durchsetzung
Die Trennung der Tiers wird nicht durch organisatorische Richtlinien allein erreicht, sondern muss technisch erzwungen werden. Gruppenrichtlinien (GPOs) sind das zentrale Werkzeug dafür.
Die wichtigsten technischen Maßnahmen umfassen die Konfiguration der GPO-Einstellung „Anmelden über Remotedesktopdienste verweigern" und „Lokal anmelden verweigern", um Tier-0-Konten die Anmeldung an Tier-2-Systemen zu unterbinden. Authentication Policies und Silos (ab Windows Server 2012 R2) schränken ein, wo bestimmte Konten authentifiziert werden dürfen. LAPS sichert lokale Administratorpasswörter auf allen Ebenen mit individuellen, automatisch rotierten Passwörtern ab. Dedizierte Privileged Access Workstations (PAWs) bieten gehärtete Arbeitsplätze, von denen aus Tier-0- und Tier-1-Systeme verwaltet werden — physisch getrennt von der normalen Arbeitsumgebung.
Schrittweise Implementierung
Die Einführung des Tiering-Modells erfolgt pragmatisch in Phasen, da eine gleichzeitige Umstellung aller Systeme in produktiven Umgebungen unrealistisch ist.
Im ersten Schritt werden alle Konten mit Tier-0-Berechtigungen identifiziert — das umfasst nicht nur offensichtliche Domain Admins, sondern auch Service Accounts mit DCSync-Rechten, Konten mit Schreibzugriff auf AdminSDHolder oder Mitglieder versteckter privilegierter Gruppen. In der Praxis finden wir regelmäßig Umgebungen, in denen deutlich mehr Konten Tier-0-Zugriff besitzen als den Administratoren bewusst ist.
Anschließend werden dedizierte Admin-Konten pro Tier erstellt (z. B. admin-t0-name, admin-t1-name), GPOs zur Anmeldebeschränkung konfiguriert und PAWs für die Tier-0-Verwaltung eingerichtet. Die Trennung von Tier 1 und Tier 2 folgt im nächsten Schritt, da sie mehr Systeme betrifft und entsprechend mehr Koordination erfordert.
Tiering und das Enterprise Access Model
Microsoft hat das klassische Drei-Tier-Modell im Rahmen des Enterprise Access Models weiterentwickelt. Dieses integriert Cloud-Identitäten (Entra ID) und ersetzt starre Tier-Grenzen durch ein flexibleres Modell mit Control Plane, Management Plane und Workload/User Access. Die Kernprinzipien — strikte Credential-Trennung, dedizierte Admin-Umgebungen und das Verbot von Credential-Fluss nach unten — bleiben identisch. Für Unternehmen mit reinen On-Premise- oder hybriden Umgebungen ist das klassische Drei-Tier-Modell nach wie vor der richtige Einstieg.
Relevanz für KMUs
Das Tiering-Modell ist keine Maßnahme nur für Großunternehmen. Auch ein mittelständisches Unternehmen mit einem einzelnen Domain Controller profitiert erheblich davon, Domain-Admin-Konten konsequent von der alltäglichen IT-Verwaltung zu trennen. Der häufigste Befund in der Praxis: Administratoren verwenden ein einziges Konto für alles — vom Helpdesk-Support auf Endgeräten bis zur Domain-Controller-Verwaltung. Schon die Einführung separater Admin-Konten pro Tier und die Einschränkung der Anmelderechte per GPO reduziert die Angriffsfläche erheblich, ohne den laufenden Betrieb zu beeinträchtigen.
Weiterführend
Unser Implementierungsleitfaden zum Active Directory Tiering-Modell führt Sie Schritt für Schritt durch die vollständige Umsetzung — von der Bestandsaufnahme bis zur laufenden Überwachung.