Jump to content

Anmeldenamen (UPN) ausblenden

herb

Von herb
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

herb Explorer

herb   10

Geschrieben
Geschrieben

Hallo Kollegen,

folgendes Szenario:

Eine OU mit Usern.Bei diesen Usern darf der UPN (Anmeldename) nicht gelesen werden.Also auch nicht mit einem LDAP Explorer. Wenn diese Regel (Anmeldename lesen --> verweigern) direkt beim User angewendet wird funktioniert das ganze.Ich muss diese Regel aber auf der OU für alle darin enthaltenen User anwenden und da bekomme ich das nicht hin. Ich kann die Regel zwar setzen aber sie wird nicht angewendet. Wo ist da der Haken??

Wäre klasse wenn da einer nen Tipp für mich hätte.

Ach ja......der Server ist W2k8.

 

Gruß

Herb

Link zu diesem Kommentar
herb Explorer

herb   10

Geschrieben
  • Autor
Geschrieben

Hallo Nils,

warum sollte das technisch gefährlich sein.Es ist eine Anforderung des Datenschutz das der Anmeldename (er ist gleichzeitig der Profilname des Zertifikats) nicht von dritten (ausser dem System selbst und den Admins) gelesen werden kann. Haben wir in einer reinen LDAP Lösung auch Problemlos am laufen.Kannst Du mir sagen was ich im AD hier falsch mache? Wäre klasse.

 

Gruß

Herb

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben

Moin,

 

warum sollte das technisch gefährlich sein.

 

weil der Anmeldename an vielen Stellen von Applikationen usw. genutzt wird. Ich würde nicht ausschließen, dass ihr da mit Berechtigungen einiges kaputt machen könnt.

 

Es ist eine Anforderung des Datenschutz das der Anmeldename (er ist gleichzeitig der Profilname des Zertifikats) nicht von dritten (ausser dem System selbst und den Admins) gelesen werden kann.

 

So eine Anforderung höre ich zum ersten Mal. Wie ist die begründet?

 

Ich habe sowas weder selbst umgesetzt noch umgesetzt gesehen. Kann sein, dass man es hinkriegt, kann sein, dass es mit Windows nicht sinnvoll machbar ist. Auf jeden Fall ist das eine Anforderung, die intensives Design und Testen benötigt. Dabei würde ich prüfen, inwieweit sich der Microsoft-Support einbinden lässt, damit es hinterher keine Supportprobleme gibt.

 

Warum dann eigentlich nur der UPN und nicht der SAM-Accountname?

 

Zu deiner Umsetzungsfrage denke ich spontan, dass du im ADUC (besser aber per dsacls) die Attributberechtigung für alle "user"-Objekte der jeweiligen OU-Struktur setzen musst. Im GUI erfordert das eine Reihe Klicks an den richtigen Stellen.

 

Gruß, Nils

Link zu diesem Kommentar
herb Explorer

herb   10

Geschrieben
  • Autor
Geschrieben

Hallo zusammen,

danke schon mal für die rege Diskussion.Ich habe das ganze etwas grob geschildert.

Ich will dieser OU bestimmte User zuordnen. Danach soll nur der Gruppe "Authentisierte Benutzer" des Recht entzogen werden den UPN dieser User zu sehen oder zu browsen.

Das System sowie Anwendungen oder Admins sind in keiner weise davon betroffen.Es führt zuweit an dieser Stelle das komplette Konstrukt zu erklären, nur soviel das hier die Vorgaben, die für eine reine Windows Umgebung seltsam aussehen mögen, durch eine bereits existierende LDAP und Unix Infrastruktur vorgegeben sind.

Mein Problem ist hier die mangelnde Erfahrung mit den Berechtigungen im AD und ich finden im TechNet leider nichts passendes.Daher mein Hilferuf hier im Forum.

 

Gruß

Herb

Link zu diesem Kommentar
phoenixcp Grand Master

phoenixcp   10

Geschrieben
Geschrieben
dass jeder Benutzer fast alles im AD lesen kann, ist Standard ...

Richtig, aber es bedingt ja auch das er die entsprechenden Werkzeuge hat. Ohne diese bzw. ohne die Möglichkeit solche zu installieren, kann man die Daten nur noch mit entsprechenden Kenntnissen auslesen.

 

Danach soll nur der Gruppe "Authentisierte Benutzer" des Recht entzogen werden den UPN dieser User zu sehen oder zu browsen.

Unter die Gruppe "Authentifizierte Benutzer" fallen doch aber auch die Konten der PC's oder? Nicht das du dir dort dann einen eventuellen Stolperstein einbaust.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben

Moin,

 

Richtig, aber es bedingt ja auch das er die entsprechenden Werkzeuge hat. Ohne diese bzw. ohne die Möglichkeit solche zu installieren, kann man die Daten nur noch mit entsprechenden Kenntnissen auslesen.

 

naja ... so viele Zusatzwerkzeuge braucht man da nicht: CMD oder Explorer kommen da schon sehr weit. Und sonst braucht man auch nicht viel zu installieren: Skripts, Browsertools usw. können über die ADO- und ADSI-Schnittstellen arbeiten. Das kriegt man sogar mit Excel hin ...

 

Gruß, Nils

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

Unter der Vorraussetzungen der entsprechenden Kenntnisse. Wieviele nicht IT'ler bei euch im Haus verfügen über diese Kenntnisse?

Also das ist nun wirklich kein Thema... ad lesen ldap - Google Search :wink2:

 

Wie Nils schon sagte, das läßt sich kaum verhindern.

 

Grundsätzlich kann man den "Authentifizierten Benutzern" den Lesezugriff auf das AD entziehen, dazu gibt es auch entsprechende Dokumente auf Technet (beispielsweise Scenario 1: Authenticated User Permissions Are Removed ). Jedoch sollte das Vorhaben (wie ebenfalls erwähnt) sehr gut getestet werden, wenn man Probleme vermeiden möchte.

 

Viele Grüße

olc

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi Herb,

 

das Entfernen der Rechte für die gesamte Domäne war nur ein Beispiel, grundsätzlich habe ich verstanden, was Du machen möchtest. ;)

 

Vom Prinzip her sind die erforderlichen Schritte schon geschrieben worden, Du kannst mittels DSACLS etc. sicher solche Massenänderungen vornehmen. Aber es wurde auch schon gesagt, daß

 

a) das nur nach ausführlichen Tests durchgeführt werden sollte, denn mit sehr hoher Wahrscheinlichkeit wird es Folgeprobleme geben, die Konfigurationsanpassungen nach sich ziehen - das sollte also vor dem Produktiveinsatz bekannt und getestet sein

 

b) das Entfernen des Zugriffs auf den UPN sicher nicht die Gesamtsicherheit erhöht - genügend andere Attribute von Benutzern oder Naming Contexts geben die notwendigen Informationen, sich den UPN zusammenzubauen.

 

Insgesamt wäre also (wenn überhaupt) das Entfernen der Leserechte für Authentifizierte Benutzer der "sinnvollere" Weg.

 

Implement ACEs for the Customer Organization

 

Viele Grüße

olc

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.781

Geschrieben
Geschrieben

Moin,

 

Unter der Vorraussetzungen der entsprechenden Kenntnisse. Wieviele nicht IT'ler bei euch im Haus verfügen über diese Kenntnisse?

 

der OP redet von Sicherheit. Dass ich davon ausgehe, dass Otto Normaluser bestimmte Kenntnisse nicht hat, hat mit Sicherheit aber wenig zu tun. Genau darum ging es mir. "Da passiert schon nix" reicht in den meisten Situationen nicht aus.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...