Reingucker 3 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Wie vermutet Ist es wahrscheinlich dies hier. Hab ich aber noch nie gemacht. https://msdn.microsoft.com/en-us/library/windows/desktop/aa374917%28v=vs.85%29.aspx Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 (bearbeitet) Moin, Schema-Admin brauchst du auf keinen Fall dafür. Und Enterprise-Admin hat hier auch nur eine Änderung des Verhaltens ergeben, weil die auch Domänen-Admins sind. Wäre noch die Frage nach dem Grund. Ist bei euch die "Prä-Windows 2000"-Gruppe leer? Wie vermutet Ist es wahrscheinlich dies hier. Hab ich aber noch nie gemacht. https://msdn.microsoft.com/en-us/library/windows/desktop/aa374917%28v=vs.85%29.aspx Ich halte das eher für unwahrscheinlich. Ich tippe auf die Prä-Windows-2000-Gruppe. Gruß, Nils bearbeitet 28. Januar 2015 von NilsK Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Ich halte das eher für unwahrscheinlich. Ich tippe auf die Prä-Windows-2000-Gruppe. Gruß, Nils Da hab ich auch nur rudimentär Plan von :D Auf jedenfall ist es ein sehr schönes Problem und ich freue mich schon auf die Lösung, völlig egal wie die aussieht. Hauptsache was gelernt :cool: Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Moin, hier ist die Gruppe "Prä-Windows 2000-kompatibler Zugriff" beschrieben: [Active Directory information exposed to users?]http://www.windowsecurity.com/articles-tutorials/misc_network_security/Active-Directory-information-exposed-users.html Diese Gruppe hat u.a. vollen Lesezugriff auf user-Objekte. In den meisten Umgebungen sind die "Authenticated Users" Mitglied in der Gruppe, wodurch effektiv jeder auch userAccountControl lesen kann. Für höhere Sicherheit wird empfohlen, die Gruppe zu leeren - dann können eben nicht mehr alle User das Attribut lesen. Das würde das in diesem Thread diskutierte Verhalten erklären. Gruß, Nils Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 (bearbeitet) Hm, sehr interessant. Wenn ich bei 2012 R2 die authenticated users aus der prä-win2000 raus nehme (also leer), kann ich immer noch per PS alle Userproperties auslesen. Auch wenn ich nicht Dom-Admin oder dergleichen bin. Scheint also nichts mit dem Problem des TO zu tun zu haben? Hat sich da was geändert in 2012? Werde nacher mal durch deinen Link durchschmökern und auch durch die Links im Link. bearbeitet 28. Januar 2015 von Reingucker Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 28. Januar 2015 Melden Teilen Geschrieben 28. Januar 2015 Ich kenne Firmen (u.a. meine), bei denen Berechtigungen im AD bis auf Attribut-Ebene exakt designt werden, um die richtige Delegation zu ermöglichen. Hat was mit least privilege - required privilege - save by design zu tun :) Und ist ein Heidenspaß, weil die dann über GUIDs gesetzt werden und nicht über Konstanten oder gar Namen :( Obwohl ich nicht unbedingt glaube, dass das beim TO der Fall ist. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 (bearbeitet) Moin, Wenn ich bei 2012 R2 die authenticated users aus der prä-win2000 raus nehme (also leer), kann ich immer noch per PS alle Userproperties auslesen. Auch wenn ich nicht Dom-Admin oder dergleichen bin. Scheint also nichts mit dem Problem des TO zu tun zu haben? Hat sich da was geändert in 2012? Werde nacher mal durch deinen Link durchschmökern und auch durch die Links im Link. da es sich bei der Gruppe um eine lokale Gruppe der DCs handelt ("Builtin"), musst du den DC neu starten, damit der Effekt wirksam wird. In einer Umgebung mit mehreren DCs musst du alle neu starten. Zum Testen dann nicht das vordefinierte Administrator-Konto als Zielobjekt nehmen, das hat nämlich spezielle Berechtigungen. Gruß, Nils bearbeitet 29. Januar 2015 von NilsK Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 Moin, du hast dich nach dem Entfernen der Gruppe neu angemeldet? Gruß, Nils Ich habe die Prä-2000 leer gemacht, den in deinem Link genannten Neustart durchgeführt und dann getestet. Zitieren Link zu diesem Kommentar
Molle 0 Geschrieben 29. Januar 2015 Autor Melden Teilen Geschrieben 29. Januar 2015 Die Gruppe "Pre-Windows 2000 Compatibility" hat den Member "Authenticated Users". Bei einer OU die fünf User beinhaltet kann ich bei zwei von diesen das Attribut "Enabled" abfragen. Beim Vergleich der Berechtigungen fallen mir einige Unterschiede auf. Generell haben "Domain Admins" jedoch Full Control. Was ist denn der ausschlaggebende Faktor auf den ich hier achten muss? Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 "den Member"? Also quasi fast alle. ;) Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 (bearbeitet) Moin, die tatsächlichen Berechtigungen schaut man sich am besten mit LIZA an: http://ldapexplorer.com/en/liza.htm So langsam sollten wir uns aber auch mal darüber unterhalten, was du denn eigentlich erreichen willst. Eine Abfrage nach Kennwortattributen wird ja normalerweise nur ein Admin ausführen, warum ist es hier also relevant, dass bzw. ob ein Nicht-Admin das kann? Gruß, Nils bearbeitet 29. Januar 2015 von NilsK Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 @Nils Ich habe zum testen, da ich im Moment nur 2 DC am laufen habe im Testnetz, einen Standarduser Karl in die Gruppe der Serveroperatoren geschoben und mich mit diesem dann am DC angemeldet, eine PS geöffnet und die weiter vorne genannten Abfragen nach "enabled" und "passwordneverexpires" erfolgreich ausgeführt. Neustart des DC hatte ich wie weiter oben beschrieben natürlich vorher ausgeführt. Scheint sich was geändert zu haben in 2012. Zitieren Link zu diesem Kommentar
Molle 0 Geschrieben 29. Januar 2015 Autor Melden Teilen Geschrieben 29. Januar 2015 Generell ist mein Problem schon damit behoben, dass ich nun für das Ausführen des Scripts - welches die Attribute abfragt - den oben genannten Admin - Account (Schema- & Enterpriseadmin) benutze. Um jedoch den Thread noch zu einer Lösung zu führen (falls das noch gewünscht ist), wäre es noch interessant herauszufinden warum ich mit meinem normalen Domain - Admin Account genau diese Attribute nicht abfragen kann. Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 Ein Skript mit den Anmeldedaten eines Schema-Enterpriseadmins? Wäre ich schon skeptisch. Zitieren Link zu diesem Kommentar
Reingucker 3 Geschrieben 29. Januar 2015 Melden Teilen Geschrieben 29. Januar 2015 @Molle Ich weiß nicht wer bei euch alles im Netz etwas machen darf. Ich vermute dass der Gesamtstrukturadmin direkt auf die Eigenschaften der Objektattribute Berechtigungen gesetzt hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.