Default OU Rechte einschränken

[olifant77 10]

Hallo,

 

will in einer OU innerhalb unseres AD ein paar restrikivere Rechte setze und weiß nicht so recht, welche Auswirkungen das haben könnte.

 

Da ich einige Gruppen im AD anlegen möchte, um damit auf etwas sensiblere Freigabe auf einem Fileserver zu berechtigen - hätte ich gerne, dass nicht ein "authentifizierter Benutzer" diese Struktur lesen darf.

 

Geht das indem ich die Gruppen in eine dedizierte OU packe und dann auf der betroffenen OU einfach die "authentifiziete Benutzer" rausnehme oder bringt dies unerwünschte Nebeneffekte mit sich?

 

Wer kann mir da helfen?

 

Gruß,

Oli

[NorbertFe 2.281]

Hallo,

 

will in einer OU innerhalb unseres AD ein paar restrikivere Rechte setze und weiß nicht so recht, welche Auswirkungen das haben könnte.

 

Da ich einige Gruppen im AD anlegen möchte, um damit auf etwas sensiblere Freigabe auf einem Fileserver zu berechtigen - hätte ich gerne, dass nicht ein "authentifizierter Benutzer" diese Struktur lesen darf.

 

Was hat denn die Sensibilität des Filesystems mit der Möglichkeit zu tun Gruppennamen im AD lesen zu können?

Prinzipiell kann man natürlich den Authentifizierten Usern das Lesen Recht auf bestimmte OUs entziehen und dort dann explizite Rechte vergeben. Sollte man allerdings vorher in einer Testumgebung mal nachstellen ehe man das in der Produktivumgebung umsetzt.

 

 

Geht das indem ich die Gruppen in eine dedizierte OU packe und dann auf der betroffenen OU einfach die "authentifiziete Benutzer" rausnehme oder bringt dies unerwünschte Nebeneffekte mit sich?

 

Prinzipiell geht das so. Allerdings mußt du dazu die Vererbung aufheben.

 

Bye

Norbert

[NilsK 3.046]

Moin,

 

Was hat denn die Sensibilität des Filesystems mit der Möglichkeit zu tun Gruppennamen im AD lesen zu können?

 

naja, das finde ich schon nachvollziehbar: Die Daten sind so sensibel, dass bereits die Information, wer darauf Zugriff hat, heikel ist.

 

Eine mögliche Alternative wäre hier, ausnahmsweise mit Lokalen Gruppen auf dem Server zu arbeiten.

 

Gruß, Nils

[NorbertFe 2.281]

Moin,

 

 

 

naja, das finde ich schon nachvollziehbar: Die Daten sind so sensibel, dass bereits die Information, wer darauf Zugriff hat, heikel ist.

 

OK, wenn das so sein sollte, wäre aber eine komplette Trennung sicherer.

 

Eine mögliche Alternative wäre hier, ausnahmsweise mit Lokalen Gruppen auf dem Server zu arbeiten.

 

Oder mit zusätzlicher Domäne.

 

Bye

Norbert

[olc 18]

Hi Oli,

 

das Entfernen der "Authenticated Users" ist ein "gängiges" Szenario, wenn es um das Erreichen Deines Ziels geht. MS hat das hier auch dokumentiert: Implement ACEs for the Customer Organization

 

Die Frage ist jedoch, ob man nicht trotzdem über Umwege an diese Informationen heran kommt. Das kommt sicherlich auf die "Energie" bzw. das Können eines potentiellen Angreifers an. Aber das Entfernen der Gruppe ist sicherlich ein Anfang.

 

Eine zusätzliche Domäne bringt in diesem konkreten Fall meines Erachtens keine Vorteile, da das Problem ja das selbe bleibt: "Authenticated Users" dürften weiterhin die OU "auslesen" - denn auch Domänenbenutzer / Domänencomputer einer anderen Domäne des selben Forests (als auch im Normalfall bei getrusteten Forests) sind "Authenticated Users".

 

Der Hinweis von Nils ist "charmant", da Du damit zumindest verhindern könntest, daß man direkt die Zuordnung für das Share hinbekommen würde. Aber es ist wie immer - mit wenigen Netzwerkscans oder etwas "social engineering" *B*S*BINGO* bekommst Du die Information wahrscheinlich trotzdem.

 

Viele Grüße

olc