Jump to content
Sign in to follow this  
mwagenknecht

ADS, Probleme mit Vererbung

Recommended Posts

Hallo,

wir haben hier eine Windows 2003 ADS Struktur mit 2 Windows 2003 Standard Edition Servern, die den Global Catalog führen. Für die Benutzerverwaltung haben wir eine OU Struktur angelegt, die zum Großteil unserem Organigramm entspricht. Damit die User einige Parameter für die angeschlossene Telephonie ändern können, ist es erforderlich ihnen Schreib- und Leserechte auf spezielle Benutzerdefinierten Objekte in der ADS zu geben. Wir haben die Rechte auf der obersten Ebene eingerichtet und wollen sie in die OUs und den Usern vererben. Die Vererbung in die OUs funktioniert. Wenn ich allerding die Vererbung bei den Benutzern aktiviere, dann wird der Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten" nach etwa einer Stunde wieder entfernt. Ein Replikationsproblem ist es nicht, da der Haken sauber auf beiden Domänencontrolern gesetzt ist und nach etwa einer Stunde entfernt wird.

 

Hat jemand eine Idee woran das liegen könnte und was ich tun kann um das Problem zu lösen?

 

Viele Grüße,

Michael

Share this post


Link to post
Share on other sites

Servus,

 

Wenn ich allerding die Vererbung bei den Benutzern aktiviere, dann wird der Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten" nach etwa einer Stunde wieder entfernt.

 

hmm... das riecht mir sehr nach dem AdminSDHolder-Prozess.

In welchen Gruppen sind die Benutzerkonten denen du das delegieren möchtest Mitglied?

 

Zur Erklärung:

 

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von Dienstadministratorgruppen sind, speziell schützt.

Der Domänencontroller, der die FSMO - Rolle des PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste eines speziellen AdminSDHolder - Objekts übereinstimmen.

 

Hinweis: Wenn im folgenden Registry - Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig

nicht existiert), dann lautet das Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) liegen.

 

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten ausführen können.

 

Der Prozess geht dabei folgendermaßen vor:

 

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen Attribute „adminCount“ auf den Wert von größer 0

- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert (der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen Konten gilt.

- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD> und dient als Vorlage für alle administrativen Konten.

- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert

 

Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich Service Pack 3 werden durch den AdminSDHolder geschützt:

 

- Organisations-Administratoren

- Schema - Administratoren

- Domänen - Administratoren

- Administratoren

 

Ab dem Service Pack 4 für Windows 2000 (oder mit installiertem Hotfix 327825 auch mit früherem SP) / Windows Server 2003 werden folgende Gruppen mitgeschützt:

 

- Server - Operatoren

- Sicherungs - Operatoren

- Konten - Operatoren

- Druck - Operatoren

- Zertifikatherausgeber

 

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

 

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein Hotfix installiert werden, der aus diesem Artikel angefordert werden kann Delegated permissions are not available and inheritance is automatically disabled. Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

 

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des AdminSDHolder`s zu erzielen.

Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren. Diese Änderung muss manuell oder durch ein Script (ein Beispielscript befindet sich im oben angegebenen Artikel) erledigt werden.

 

...to be continued.

Share this post


Link to post
Share on other sites

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

 

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“ vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen Domänencontrollern zu kontrollieren.

 

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder, CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

 

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.

 

 

Du kannst dir über den AdminSDHolder auch diese Artikel anschauen:

Search The Knowledge Base

Share this post


Link to post
Share on other sites

Hallo Daim,

vielen Dank für die schnelle und ausführliche Erklärung.

Du hast das Problem genau richtig erkannt.

Ich habe jetzt dem AdminSDHolder die Rechte für die Benutzerdefinierten Objekte gegeben und schon funktioniert alles, auch ohne Vererbung.

 

Danke und Gruß,

Michael

Share this post


Link to post
Share on other sites

Hallo Yusuf,

 

 

danke für den super Beitrag ! Ich habe das Problem beim BESADmin für Blackberry.

 

Leider passiert das bei dem System nicht aller 60 min, sondern 15 Minuten.

Share this post


Link to post
Share on other sites

Damit hast Du allerdings vollkommen Recht. :D

 

Sorry, habe es nur quergelesen und den Registry Key dabei wohl übersehen.

 

Aber was solls, irgendwie muß ich meine klägliche Existenz hier im Forum ja auch rechtfertigen. :D

 

Danke und Gruß

olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...