Zum Inhalt wechseln


Foto

Berechtigungen für neu angelegte User


  • Bitte melde dich an um zu Antworten
14 Antworten in diesem Thema

#1 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 29. Mai 2017 - 09:31

Hallo zusammen, 

 

Ich such gerade im AD wo quasi die "Standard" Vorlage für Neue Benutzer ist, falls es überhaupt eine gibt. Weiß da zufällig jemand was drüber?

Das Ich mir eigene VorlageUser bauen kann ist mir bewusst aber mir gehts darum wenn über den Button "Neuer Benutzer" ein Benutzer angelegt wird, woher bezieht der seine, Ich nen es mal Standardberechtigungen?

 

Schönen Tag euch allen auch wenns etwas wärmer is :)



#2 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 29. Mai 2017 - 09:37

Welche Standardberechtigungen meinst Du? Das Userobjekt kommt in die Gruppe der Domänen-Benutzer, mehr nicht.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#3 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 29. Mai 2017 - 09:48

hi Sunny61,

 

das ist klar welche Gruppen es bekommt. Ich mein unter  Sicherheit und da die Berechtigungen die auf dem Objekt sind (erweiterte Sicherheitseinstellungen für "User" :) Die müssen ja auch "irgendwoher" kommen 



#4 Sunny61

Sunny61

    Expert Member

  • 22.248 Beiträge

 

Geschrieben 29. Mai 2017 - 10:30

Das sind IMO auch Standardeinstellungen die MSFT so vorgegeben hat. Der Default also, kann man ja in jedem System so einstellen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#5 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 29. Mai 2017 - 10:45

Moin,

 

du meinst die Zugriffsberechtigungen auf das AD-Objekt? Die sind in der AD-Konfiguration bzw. im Schema vorgegeben.

 

https://technet.micr...y/cc961748.aspx

 

Was genau hast du denn vor?

 

Gruß, Nils


Bearbeitet von NilsK, 29. Mai 2017 - 10:46.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#6 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 29. Mai 2017 - 11:21

Danke Nils, 

 

das ist schon mal ein Ansatz. Was ich vorhabe ist leider nicht so ganz einfach. Ich hab einen Kunden bei dem sehr stark an den AD Berechtigungen gedreht wurde...um mal ein Beispiel zu geben: Auf Domänenebene kann jeder jedem das Passwort ändern, und Send as und Receive as..... und schön vererbt. 

Der Kunde hatte schon diverse MSFT Calls wo ein Großteil repariert wurde, nun geht es noch um Anpassungen. Problem ist wenn die Jeder Berechtigungen entfernt werden funktionieren diverse Dienste nicht da hier wahrscheinlich nie die passenden Berechtigungen vergeben wurden. Durch Jeder und entsprechende Rechte hat das ja funktioniert....

Aktuell ist das Problem das wenn eben jene Berechtigungen entfernt werden ist es vor allem neu angelegten Usern nicht mehr möglich ist Gruppenmitgliedschaften auszulesen, was ja eigentlich jeder User können muss. 

Daher liegt für mich nahe das an den Standardberechtigungen die neue User bekommen auch rum gespielt wurde, deswegen würde ich mir die gerne ansehen.

 

Hoffe das war jetzt halbwegs verständlich in Kurzform, und ja das man ein AD was MS für defekt erklärt normal nicht mehr reparieren sollte ist mir auch klar.



#7 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 29. Mai 2017 - 11:31

Moin,

 

ja, sobald man an den AD-Berechtigungen herumspielt, bewegt man sich schnell im nicht-supporteten Bereich. Daher sollte man auch nie die Standardberechtigungen ändern und alle Änderungen nur selektiv auf eigene Objektcontainer vergeben.

Solange die Berechtigungsvorlage im Schema nicht manipuliert wurden, kann man alle Objekte oder Container mit dsacls.exe wieder auf die Vorgabe zurücksetzen, es gibt dort einen eigenen Schalter dazu.

 

Die Standardberechtigung ist für jede Objektklasse (Schema-Object vom Typ classSchema) im Attribut defaultSecurityDescriptor gespeichert. Ein Vergleich dieser Attributwerte von dem Kunden-AD mit einem frisch aufgesetzten Referenz-AD sollte schnell Klarheit geben, ob da was manipuliert wurde. Für alle Reparaturen oder Änderungen empfehle ich dringend, jemanden hinzuzuziehen, der mit solchen Sachen Erfahrungen hat. Wie gesagt - man ist dort schnell in einem Bereich, den Microsoft nicht mehr supportet.

 

Gruß, Nils


Bearbeitet von NilsK, 29. Mai 2017 - 11:33.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 29. Mai 2017 - 11:51

Danke für den Hinweis mit den Schema-Object Nils, ist quasi ein Volltreffer...

 

 

Referenz-AD CN=User classSchema defaultSecurityDescriptor

D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AO)(A;;LCRPLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77b5b886-944a-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b2-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b3-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77b5b886-944a-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e45795b3-9455-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;RPWP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;RPWP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561)

 

Fehlerhaftes-AD CN=User classSchema defaultSecurityDescriptor

D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B3-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;WPRP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;WPRP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561)

 

 

Interessant ist allerdings wenn ich Direkt ins Schema gehe und Eigenschaften/Sicherheit/erweiterte Sicherheit der Klasse User anschaue dann ist das im Fehlerhaften AD auch identisch mit dem Referenz AD...

 

Wenn ich das richtig deute sind da einige Werte verändert worden, hab gerade noch 3 andere ADs als vergleich genommen und es schaut immer so aus wie beim Referenz AD...da hat wohl wirklich jemand gedacht er weiß was er tut....

 

Gruß Ralph


Bearbeitet von Ralph_S, 29. Mai 2017 - 12:12.


#9 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 30. Mai 2017 - 08:54

Hat jemand zufällig einen Link der die SDDL Strings aufschlüsselt? Teilweise habe ich schon was gefunden aber eben noch nicht komplett 

D: steht für DACL

S: für SACL

G: Primary Group

O: Owner

 

Aber die ganzen Buchstaben dahinter wären auch noch Interessant dazu finde ich gar nix...



#10 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 30. Mai 2017 - 09:17

Moin,

 

also, ich finde haufenweise zu "Windows SDDL" ... wo genau ist das Problem?

 

Gruß, Nils

PS. wir sind uns hoffentlich einig, dass alle Manipulationen in einer isolierten Lab-Umgebung stattfinden ...?


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 30. Mai 2017 - 12:20

Selbstverständlich VMWare Workstation und da n Seperaten Server mit AD :) 

 

Ich bin halt auf der Suche nach der Auflösung der Strings oben und da hab ich nocht nix gefunden leider, also z.B   D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)



#12 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 30. Mai 2017 - 12:21

Moin,

 

äh - wie suchst du denn? :confused:

 

Ich finde z.B. auf Anhieb dies hier:

https://itconnect.uw...ng-sddl-syntax/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#13 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 30. Mai 2017 - 12:40

Ok Dr. Google geht an dich :/ hatte nach SDDL encoding gesucht 

 

hab da so Sachen wie das hier gefunden https://blogs.techne...of-love-part-1/

 

aber da fehlte genau das was bei dir im Link steht :)

 

Danke! 

 

P.S die Strings oben sehen zwar unterschiedlich aus aber das Ergebnis nach Aufschlüsselung ist das selbe...


Bearbeitet von Ralph_S, 30. Mai 2017 - 12:54.


#14 NilsK

NilsK

    Expert Member

  • 12.474 Beiträge

 

Geschrieben 30. Mai 2017 - 15:47   Lösung

Moin,

 

dann könntest du mit einem Hilfsmittel wie z.B. LIZA mal vergleichen, wie die Berechtigungen neu erzeugter Objekte denn tatsächlich sind. Wer weiß, ob die "umsortierten" Strings nicht vielleich ungültig sind und das AD dann was anderes macht, als nominell dort steht ...

 

http://ldapexplorer.com/en/liza.htm

 

Gruß, Nils


Bearbeitet von NilsK, 30. Mai 2017 - 15:48.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#15 Ralph_S

Ralph_S

    Newbie

  • 127 Beiträge

 

Geschrieben 01. Juni 2017 - 08:24

Ich markiere mal als gelöst,

Danke Nils für deine guten Hilfestellungen!