kirschi68 10 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hallo zusammen, versuche einen Blackberry Server (W2K3 R2, DC ist ein W2K3 SBS) zum Laufen zu bringen. Rechte sind alle so vergeben, wie in diversen Anleitungen steht. Der BESAdmin ist nur Domänenbenutzer (keine sichtbare andere Sicherheitsgruppe). Wenn ich beim jeweiligen User unter Sicherheit > Erweitert kontrolliere ob der BESAdmin mit 'Senden als' auftaucht ist der erstmal nicht da, bei jedem User ist die Vererbung deaktiviert. Aktiviere ich diese, ist automatisch der BESAdmin mit dem Recht 'Senden als' vorhanden. Jetzt klappt alles für ca. 1 Stunde. Nach der Zeit ist der Haken beim User 'Berechtigungen übergeordneter Objekte auf untergeordnete Objekte, sofern anwendbar, vererben' verschwunden und natürlich auch der BESAdmin wieder weg. Nun habe ich verschiedene Beiträge über den adminSDHolder gelesen, aber der BESAdmin ist in keiner anderen Sicherheitsgruppe, bei der Rechte vom adminSDHolder wieder überschrieben werden. Habt ihr noch eine Idee? Gruß Andreas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hi Andreas, der Benutzer ist wahrscheinlich Mitglied ist einer "geschützten Gruppe" (z.B. Domänen-Admin, Server-Operator o.ä.). Schau einmal hier hinein, das sollte Dir helfen: Windows Server How-To Guides: Der AdminSDHolder - ServerHowTo.de Anbei noch die Empfehlung (auch wenn es in vielen Umgebungen praxisfern erscheint), administrativen Benutzern kein Postfach oder ähnliches einzurichten bzw. eine strikte Rechtetrennung zwischen Arbeitsaccount und Adminaccount einzusetzen. Das derzeit verbeitetste Einfallstor für Schädlinge ist das Medium "E-Mail" (zumindest solange, bis der "Bundestrojaner" öfters eingesetzt wird :D ). Was also passiert, wenn der Benutzer, der sich per E-Mail einen Schädling einfängt, auch noch Domänen-Admin o.ä. ist, läßt sich schnell ausmalen... Und nebenbei kommt es bei einer korrekten Rechtetrennung erst gar nicht zum oben beschriebenen Problem. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 22. Mai 2008 Autor Melden Teilen Geschrieben 22. Mai 2008 Hallo olc, vielen Dank für die schnelle Antwort und den äußerst interessanten Link. Das würde also bedeuten, das der "normale Domänenbenutzer" Mitglied einer solchen Sicherheitsgruppe ist? Denn der Benutzer BESAdmin ist nur Mitglied von: 'Domänenbenutzer xxxx.local/users' Ich weiß nur, daß die Kollegen, welche den Server vor 3 Jahren installiert haben, irgend ein Tool verwendet haben, um diverse Systemeinstellungen anzupassen. Vielleicht wurde dabei der adminSDHolder "verbogen"? Denn es werden ja Rechte eines Benutzers rückgängig gemacht und nicht Rechte eines Administrators bzw. Mitgliedes einer Admin-Gruppe. Sorry für die doofen Fragen, aber so tief stecke ich im Thema momentan nicht drin. Danke für den Buchtipp in Deiner Signatur ;-) , ich habe nämlich noch einen Gutschein. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hi Andreas, vielen Dank für die schnelle Antwort und den äußerst interessanten Link. Das würde also bedeuten, das der "normale Domänenbenutzer" Mitglied einer solchen Sicherheitsgruppe ist? Denn der Benutzer BESAdmin ist nur Mitglied von: 'Domänenbenutzer xxxx.local/users' Nein, genau das Gegenteil. ;) Du möchtest, daß der BlackBerry Benutzer BESAdmin in der ACL Deiner Benutzer auftaucht, d.h. z.B. auf dem Benutzer XY das Recht "Send As" besitzt. Wenn dieser Benutzer XY nun direkt oder verschachtelt in einer der geschützten Gruppen liegt, wird die ACL dieses Benutzers XY immer wieder vom AdminSDHolder zurückgesetzt und damit das Recht des Benutzers BESAdmin wieder entfernt. Man muß ein wenig "umdenken" - sobald das Prinzip jedoch klar ist, fällt es einem wie Schuppen von den Augen. ;) Ich weiß nur, daß die Kollegen, welche den Server vor 3 Jahren installiert haben, irgend ein Tool verwendet haben, um diverse Systemeinstellungen anzupassen. Vielleicht wurde dabei der adminSDHolder "verbogen"? Denn es werden ja Rechte eines Benutzers rückgängig gemacht und nicht Rechte eines Administrators bzw. Mitgliedes einer Admin-Gruppe. Wie oben beschrieben solltest Du Dich nicht auf den BESAdmin Account konzentrieren, sondern auf die Accounts, auf denen der BESAdmin das Recht "Send As" besitzen soll. Dann wirst Du feststellen, daß es auf einigen normalen Domänen-Benutzern klappt, auf anderen Benutzern mit erweiterten Rechten jedoch nicht. Genau das ist der Effekt des AdminSDHolders. :) Sorry für die doofen Fragen, aber so tief stecke ich im Thema momentan nicht drin. Quatsch, dafür sind wir hier. :) Danke für den Buchtipp in Deiner Signatur ;-) , ich habe nämlich noch einen Gutschein. Hast wohl gleich eine Suchmaschine Deiner Wahl benutzt? :D Viel Spaß dabei - ist eines der besten Bücher, die ich bisher gelesen habe; von einem der interessantesten Schriftsteller, die ich kenne (wenn wir denn das gleiche Buch meinen). :) Viele Grüße olc Zitieren Link zu diesem Kommentar
kirschi68 10 Geschrieben 22. Mai 2008 Autor Melden Teilen Geschrieben 22. Mai 2008 (wenn wir denn das gleiche Buch meinen). :) das mit dem Pendel? Ja, nun hab ich es kapiert und natürlich sind die Benutzer in verschiedenen Sicherheitsgruppen (Beispiel: TS-User sind in einer eigenen Sicherheitsgruppe), da muß ich den lokalen Admin kontaktieren, wie er sich das mit den Gruppen gedacht hat, zur Not müssen wohl neue User erstellt werden, um die Blackberry-Geschichte nutzen zu können. Viele Grüße Andreas Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hi, ja, das Pendel. :) Mit hoher Wahrscheinlichkeit sind die betroffenen Benutzer in geschützten Gruppen - herausbekommen kannst Du das wie im o.g. Artikel beschrieben in den meisten Fällen mit einem "whoami /all" bzw. dem "Admincount=1". Grundsätzlich kannst Du natürlich (auch im Artikel beschrieben ;) ) die ACLs des AdminSDHolder Containers bearbeiten und somit den BESAdmin Account auch für die administrativen Benutzer einrichten, aber dabei sollte - wie ich im ersten Beitrag oben schrieb - das Sicherheitskonzept geprüft werden. Viele Grüße olc Zitieren Link zu diesem Kommentar
qmaestroq 10 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Hallo Zusammen, wir hatten letzte Woche genau das gleiche Problem: Guck dir das dazu an, Anleitungen anbei: Marc Grote Blog» Blogarchiv » AdminSDHolder und Blackberry Gruß qmaestroq Zitieren Link zu diesem Kommentar
NorbertFe 1.835 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 Mit hoher Wahrscheinlichkeit sind die betroffenen Benutzer in geschützten Gruppen Oder waren ;) Dann fehlt nämlich der Haken zur Berechtigungsübernahme. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Mai 2008 Melden Teilen Geschrieben 22. Mai 2008 ...jepp, danke für die Präzisierung. Deshalb kann es durchaus sinnvoll sein, das VB-Script aus KB817433 ab und an mal laufen zu lassen. :D Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.