styria

danke für den tipp - werd ich so hinbekommen

hi @ll

gibt es eine Möglichkeit beim lokalen Gruppen am PC die Mitgliedschaft per registry zu ändern?

Szenario:

Es gibt eine Gruppe "LOKAL_A" im AD die händisch bei jedem PC in die Gruppe "Administratoren" eingetragen wurde. Diese Gruppe möchten/müssen wir jetzt wieder aus jeden PC entfernen.

Gibt es einen Registry-Eintrag für die lokalen Gruppen und deren Mitglieder? Wenn ja, die SID der lokalen Gruppe "Administratoren" dürfte doch überall gleich sein und die AD Gruppe "LOKAL_A" hat auch eine eindeutige SID, also könnte ich doch per Gruppenrichtlinie einen Befehl ausschicken, der mir den Registry Eintrag so bearbeitet, dass die Gruppe "LOKAL_A" draussen ist?!

Kann mir hier jemand Infos über den Registry-Eintrag (wenn es den gibt) geben, oder hat jemand eine andere Idee?!

Muss man hier mit der Datei "C:\WINDOWS\system32\config\SAM" spielen? wenn ja, wie?

Es handelt sich hier um gut 200 PCs die ich natürlich nicht händisch abklappern will und in den bestehenden Ghost-Images ist die Gruppe auch noch drinnen, deshlab soll die Arbeit ruhig das AD machen *g*

Danke schon mal im Voraus für eure Überlegungen und hoffentlich hilfreichen Antworten.

mfg

hi nils,

hab jetzt setacl nach deinen parametern angewendet ... folgendes dazu:

dein command:

SetACL.exe -on C:\temp\test -ot file -dom "n1:alter Domainname;da:remdom;w:sacl,dacl" -actn domain -rec cont_obj

hat nicht so ganz geklappt, hier der fehler dazu:

ERROR in command line: Invalid option specified: ?rec!

hab ihn dann auf das abgeändert:

SetACL.exe -on C:\temp\test -ot file -dom "n1:alter Domainname;da:remdom;w:sacl,dacl" -rec cont_obj -actn domain

also dass der recurison Befehl vor dem Action Befehl steht, dann kam kein Fehler sondern die Durchführung wurde bestätigt

INFO: Processing ACL of: <\\?\C:\temp\test>

INFO: Processing ACL of: <\\?\C:\temp\test\Neuer Ordner>

INFO: Processing ACL of: <\\?\C:\temp\test\test.txt>

SetACL finished successfully.

wie du siehst test ich das ganze nur in einem kleinen Ordner, dem ich verschiedene Berechtigungen von beiden Domains zugewießen habe.

Leider sehen die Berechtigungen nach dem Befehl ganz gleich aus wie davor - d.h. es passiert gar nichts!

Hast du hierzu irgendeinen Einfall oder vl. siehst du ja gleich was falsch sein könnte!?

mfg

Danke wieder für eure Anteilnahme an meinem Problem.

Die Migration ist noch nicht all zu lange her, wir sind mal froh dass alles soweit funktioniert, die Nacharbeiten sind eben jetzt und da steh ich eben vor dem beschriebenen Problem. Die SID History Einträge der alten Domain werden wir auch loswerden, aber wie Nils schon angemerkt hat, hat die SID History nicht nur was mit dem Filesystem zutun, deshalb wird das wohl noch ein bisschen dauern.

Ich werde heute euer Vorschläge testen, leider bin ich nicht gerade mit viel Zeit gesegnet, deshalb auch meine Antworten relativ spät, aber ich informiere natürlich wenns klappt, sowieso wenns nicht klappt bzw was nicht klappt.

Eine Möglichkeit ist natürlich die SID History gleich loszuwerden und dann die Berechtigungen mit subinacl "/cleandeletedsidsfrom " bereinigen, aber lieber wäre mir die Methode dass alle Berechtigungen von "domain1" verschwinden.

mfg

Hab die alte Domain wieder online geschalten, aber es tut sich gleich wenig. Das Kommando sagt doch aus dass SIDs die nicht aufgelöst werden können gelöscht werden, da aber die Doppeleinträge auf Grund der SID History in den Userdetails der neuen Domain aufgelöst werden können, tut sich eben nichts.

Ich bräuchte irgendwelche Parameter die mir alle Einträge von der Domain1 herausnehmen.

Hey ich mecker nicht, ich stell nur fest dass ich nicht weiter komm ;)

Danke für deine raschen Antworten, freu mich über jede Hilfe.

mfg

hi

danke für deine rasche antwort - der link is leider auch nur stückwerk, da zwar beschrieben wird dass man solche Migrations-Doppel-Einträge damit loswerden kann "Aber auch durch eine Migration können solche verwaisten Einträge entstehen" aber leider gibts dazu kein Beispiel - bin in der zwischenzeit mit dem subinacl auf kriegsfuss und komm einfach nicht weiter - vl. gibts jemanden der das tool beherrscht und mir ein bisschen unter die arme greifen kann!?

danke

Hi @ll

habe folgende Szenario:

Nach einer erfolgreichen Domainmigration wo wir die Berechtigungen am Fileserver per ADMT kopiert haben (alte SID steht in der SID-History der User von der neuen Domain), stehen jetzt die Berechtigungen doppelt in den Sicherheitseinstellungen von Shares, Ordnern & Dateien.

zB:

domain1\user1

domain2\user1

Ich hab mich zwar schon ein bisschen mit subinacl beschäftigt, schaffe es aber nicht einen Befehl abzusetzen der mir aus dem Objekten alle alten Domain Berechtigungen löscht.

Also zB:

\\server\pfad\ /delete domain1\*

Wir haben die alte Domain jetzt mal testweise vom Netz genommen und brauchen jetzt ewig um bei einem Objekt in den Ordnerregister "Sicherheit" hinein zu schaun, da das System versucht an Hand der alten Domain die SIDs der alten User und Gruppen aufzulösen, jetzt dauert es bis das System checkt dass die alte Domain nicht da ist und er über die SID-History der neuen User die alte SID auflösehn kann, dann sehen die Einträge aber so aus:

domain2\user1

domain2\user1

es sieht also so aus als würde ein User (oder Gruppe) doppelt vorhanden sein, was ja normalerweise nicht möglich ist.

Hoffe es kann mir jemand helfen, irgendwann sollte ich ja die alte Domain wegkriegen und das ohne nachfolgende Probleme.

Danke

mfg

hab ich vor rund 1 1/2 stunden gemacht, hab in der root die GPO auf 365 Tage gesetzt - client natürlich gpupdate /force - sogar durchstarten!

also eigentlich gibt es jetzt nirgendst mehr die einstellung mit den 42 tagen - oda?

und trotzdem kommt noch immer die meldung - das kann doch nicht sein!? -verdammt!?

ich weiß nimma weiter ...

rsop.msc sieht man die GPO so wie sie sein sollte - also die GPO-Settings von der Sub-Domain - trotzdem werden die User aufgefordert das Kennwort nach 42 Tagen zu ändern - obwohl rsop.msc anzeigt dass es erst nach 90 Tagen ist

Das Kennwortalter der User weiß ich sogar 1. weil wir vor ungefähr 33 Tagen alle resetet haben und 2. weil ich es über das Tool "Network Account Password Age" auslesen kann.

Kann es nicht sein dass die GPO aus der Root-Domain nach unten durchschlägt? den dort sind die 42 Tage definiert.

danke für deine schnelle Antwort

mfg

Hallo!

Ich habe folgende Problem und ich hoffe mir kann jemand schnell helfen.

Wir haben in unsrem Domain-Forest folgende Situation

Root-Domain

Sub-Domain

wir haben in der Sub-Domain eine GPO (Password) die den Kennwortwechsel nach 90 Tagen erzwingt (Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 1

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 90

min. Kennwortlänge = 6

min. Kennwortalter = 0

dies ist eine eigene GPO und nicht eine Einstellung aus einer großen GPO bzw. von der DefaultDomainPolicy!

die DefaultDomainPolicy ist in der DomainStruktur nicht verknüpft und auch deaktiviert.

Es gibt in der Root-Domain eine GPO die ganz oben verknüpft ist - in diesem Fall ist das die DefaultDomainPolicy, bei der folgende Einstellung gesetzt ist:

Computerkonfiguration - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien - Kennwortrichtlinien)

Komplexität = deaktiviert

Kennwortchronik = 24

umgekehrte Verschlüsselung speichern = deaktiviert

max. Kennwortalter = 42

min. Kennwortlänge = 7

min. Kennwortalter = 1

Jetzt die Fragen:

1. Welche Policy greift auf die User & Computer in der Subdomain?

Es gibt keine Vererbungsdeaktiverung auf der Sub-Domain.

Die Root-Domain beinhaltet keine User & Comuter - das Leben spielt sich in den Sub-Domains ab.

2. Wie kann ich auf einem PC auslesen, welche GPOs effektiv greifen?

Mit gpresult seh ich es zwar, aba da seh ich nicht ob was von einer übergeordneten Domain kommt, oder irre ich mich?

Warum ich das Frage?

Es soll in der Subdomain das Kennwort nach 90 Tagen geändert werden, doch User bei denen das Kennwort 28 Tage alt ist bzw älter, bei denen kommt jetzt bereits die Meldund dass das Kennwort in 14 Tagen oder kürzer, abläuft.

Warum? es soll doch erst nach 90 Tage geändert werden müssen.

Vielleicht kennt jemand ein Tool bei dem ich genau auslesen kann welche GPOs greifen bzw. vl. gibt es in der Registry einen Key wo ich mir das anschaun kann.

Hoffe ich konnte die Problematik klar und deutlich darstellen.