AD-Benutzer verliert automatisch die Veerbung

[Dayworker 10]

Tach zusammen,

 

seit kurzem klagt ein USER darüber, dass sein Blackberry keine Mails mehr sendet. Der REST geht!

 

Jetzt haben wir den Cloe gefunden. In der AD, die Ansicht auf Erweiterte Ansicht stellen. Dann hat man im USER die Registerkarte "Sicherheit" angezeigt bekommen. Hier sieht man nun, das der USER das Häckchen für die Vereerbung nicht mehr sitzen hat! Das verschwindet nach ein gewisser Zeit einfach, dann hat man natürlich kein Zugriff mehr.

 

Hat jemand eine Idee, woran das liegen kann??

[bad_pool_caller 10]

Grüße!

 

Dieses Problem hatte ich schon des öfteren...

 

Schuß ins Blaue: Ist der betroffene User Mitglied irgendeiner administrativen Gruppe (z.B. Druck-Operator o.ä.)? Ist das der Fall, entzieht der Exchange periodisch die "Send As"-Permissions für den User BBAdmin (KB12300).

[Dayworker 10]

Hi,

 

ist erst seit kurzem, da der Exchange voll upgedatet wurde! Wahrscheinlich hängt es damit zusammen!

[Daim 12]

Servus,

 

Das verschwindet nach ein gewisser Zeit einfach

 

das ist der AdminSDHolder.

 

 

Die Erklärung:

 

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des PDC-Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste eines speziellen AdminSDHolder - Objekts übereinstimmen.

 

Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) liegen.

 

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten ausführen können.

 

Der Prozess geht dabei folgendermaßen vor:

 

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen Attribute „adminCount“ auf den Wert von größer 0

- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert (der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen Konten gilt.

- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD> und dient als Vorlage für alle administrativen Konten.

- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert

 

 

Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich Service Pack 3 werden durch den AdminSDHolder geschützt:

 

- Organisations-Administratoren

- Schema - Administratoren

- Domänen - Administratoren

- Administratoren

 

Ab dem Service Pack 4 für Windows 2000 (oder mit installiertem Hotfix 327825 auch mit früherem SP) bzw. Windows Server 2003 werden folgende Gruppen mitgeschützt:

 

- Server - Operatoren

- Sicherungs - Operatoren

- Konten - Operatoren

- Druck - Operatoren

- Zertifikatherausgeber

 

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

 

 

... to be continued

[Daim 12]

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:

 

Delegated permissions are not available and inheritance is automatically disabled

 

Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

 

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste ausgehend von der Berechtigungsliste des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.

 

Diese Änderung muss manuell oder durch ein Skript (ein Beispielscript befindet sich im oben angegebenen Artikel) erledigt werden.

 

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein

Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

 

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“ vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen Domänencontrollern zu kontrollieren.

 

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder, CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

[Dayworker 10]

Hi,

 

kann ich den Patch von Microsoft einspielen, löst das mein Problem??

Artikel-ID: 895949

 

gibt es nicht eine einfachere Lösung!

 

was muss ich den tun, wenn ich dem USER alle Adminrechte nehme...dann muss ich noch was tun???

 

ist mir nicht ganz klar, Sorry!!

 

http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=895949&kbln=de

 

dass passt besser, oder?

 

http://www.msxfaq.de/konzepte/adminsdholder.htm

bearbeitet 21. Juli 2009 von Dayworker

[NorbertFe 1.800]

was muss ich den tun, wenn ich dem USER alle Adminrechte nehme...dann muss ich noch was tun???

 

Den Haken setzen, dass er übergeordnete Berechtigungen übernimmt. ;)

 

Bye

Norbert

[Dayworker 10]

mmmh....wenn ich den Patch aufspielen will, sagt er das ein neueres Service Pack drauf sei und das Update nicht benötigt wird!

 

 

 

ich habe da folgende VBS script versucht zum laufen zu bringen, leider bricht er ab! Das ist das Beispielscript aus dem KB817433..

 

kann mir jemand helfen, warum das nicht läuft!

 

********************************************************************

'*

'* File: ResetAccountsadminSDHolder.vbs

'* Created: November 2003

'* Version: 1.0

'*

'* Main Function: Resets all accounts that have adminCount = 1 back

'* to 0 and enables the inheritance flag

'*

'* ResetAccountsadminSDHolder.vbs

'*

'* Copyright © 2003 Microsoft Corporation

'*

'********************************************************************

 

Const SE_DACL_PROTECTED = 4096

 

On Error Resume Next

 

Dim sDomain

Dim sADsPath

Dim sPDC

 

 

Dim oCon

Dim oCmd

Dim oRst

Set oRst = CreateObject("ADODB.Recordset")

Set oCmd = CreateObject("ADODB.Command")

Set oCon = CreateObject("ADODB.Connection")

 

Dim oRoot

Dim oDomain

Dim oADInfo

Dim oInfo

Set oADInfo = CreateObject("ADSystemInfo")

Set oInfo = CreateObject("WinNTSystemInfo")

sPDC = oInfo.PDC & "." & oADInfo.DomainDNSName

 

oCon.Provider = "ADSDSOObject"

oCon.Open "Active Directory Provider"

 

oCmd.ActiveConnection = oCon

 

Set oRoot = GetObject("LDAP://rootDSE")

sDomain = oRoot.Get("defaultNamingContext")

Set oDomain = GetObject("LDAP://" & sDomain)

sADsPath = "<" & oDomain.ADsPath & ">"

 

oCmd.CommandText = "SELECT ADsPath FROM 'LDAP://" & sPDC & "/" & sDomain & "' WHERE objectCategory='person' and objectClass = 'user' AND adminCount = 1"

Set oRst = oCmd.Execute

 

WScript.Echo "searching for objects with 'admin count = 1' in " & sDomain

 

If oRst.RecordCount = 0 Then

WScript.Echo "no accounts found"

WScript.Quit

End If

 

Do While Not oRst.EOF

WScript.Echo "found object " & oRst.Fields("ADsPath")

If SetInheritanceFlag(oRst.Fields("ADsPath")) = 0 Then WScript.Echo "Inheritance flag set"

If SetAdminCount(oRst.Fields("ADsPath"), 0) = 0 Then WScript.Echo "adminCount set to 0"

WScript.Echo "=========================================="

oRst.MoveNext

Loop

 

 

Private Function SetInheritanceFlag(DSObjectPath)

 

Dim oSD

Dim oDACL

Dim lFlag

Dim oIADs

 

Set oIADs = GetObject(DSObjectPath)

 

Set oSD = oIADs.Get("nTSecurityDescriptor")

 

If oSD.Control And SE_DACL_PROTECTED Then

oSD.Control = oSD.Control - SE_DACL_PROTECTED

End If

 

oIADs.Put "nTSecurityDescriptor", oSD

oIADs.SetInfo

 

If Err.Number <> 0 Then

SetInheritanceFlag = Err.Number

Else

SetInheritanceFlag = 0

End If

 

End Function

 

 

Private Function SetAdminCount(DSObjectPath, AdminCount)

 

Dim oIADs

Dim iAdminCount

 

Set oIADs = GetObject(DSObjectPath)

 

iAdminCount = oIADs.Get("adminCount")

 

If iAdminCount = 1 Then iAdminCount = 0

 

oIADs.Put "adminCount", iAdminCount

oIADs.SetInfo

If Err.Number <> 0 Then

SetAdminCount = Err.Number

Else

SetAdminCount = 0

End If

 

End Function

bearbeitet 22. Juli 2009 von Dayworker

[NetSpider 10]

dazu brauchst ja keinen Fix, dies ist ja eine Funktion um die Administratoren davor zu schützen sich selbst ins out zu befördern

 

Entweder du baust im AdminSDHolder die Berechtigungen so ein wie sie für ALLE Administratoren vererbt werden sollen oder du benutzt keine Administrativen User für den täglichen Betrieb ;)

[Dayworker 10]

Fall gelöst!!!!!!!!!!!!!!

 

dem USER alle Adminrechte genommen....und mit ADSI-Edit den adminaccount auf 0 gestellt! Dann Vererbung wieder angeklickt und siehe da es funzt!!

 

 

so einfach war das!!!

 

Gruss an alle und einen Mega Dank an alle!!