Malzwei 10 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 Hallo, ich habe festgestellt, dass bei uns bei manchen Usern die Vererbung von ACL-Einstellungen ausgeschalten ist... (Benutzerprofil > Sicherheit > Erweiterte Sicherheitseinstellungen > Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen") Wie kann ich rausfinden, welche User das sind? Bei 2.500 Usern brauche ich eine automatische Abfrage mit z.B. dsget, oder so - aber ich finde nicht heraus, wie das Attribut heißt für das Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" Oder nat jemand eine andere Lösung? Danke & Grüße
NorbertFe 2.283 Geschrieben 18. März 2011 Melden Geschrieben 18. März 2011 Wie kann ich rausfinden, welche User das sind? Bei 2.500 Usern brauche ich eine automatische Abfrage mit z.B. dsget, oder so - aber ich finde nicht heraus, wie das Attribut heißt für das Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" Oder nat jemand eine andere Lösung? Danke & Grüße Delegated permissions are not available and inheritance is automatically disabled HTH Norbert PS: Ich meine das Skript im artikel ;)
P.Foeckeler 11 Geschrieben 25. März 2011 Melden Geschrieben 25. März 2011 Hallo, ein guter Kandidat als Grund für die ausgeschaltete Vererbung ist die (auch ehemalige) Mitgliedschaft in hoch privilegierten Gruppen (Admins, Kontenoperatoren, Server-Operatoren, Sicherungs-Operatoren). Daraufhin wirkt dann auf einmal die ACL vom adminSDHolder Objekt und die Vererbung ist ausgeschaltet... Gleichzeitig wird das Attribut "adminCount" auf 1 gesetzt, du könntest also einen Schnelltest starten, indem du User suchst mit folgendem LDAP-Filter: (&(objectClass=user)(objectCategory=person)(adminCount=1)) Eine genaue Prüfung nach solchen USerm mit einem schnellen LDAP-Filter geht leider nicht, denn das Häckchen für die Vererbung ist tief versteckt im Attribut nTSecurityDescriptor... Mit dem kostenlosen Tool LIZA kannst du relativ schnell die Rechte für Benutzerobjekte anschauen, aber eine automatische Suche nach "nicht vererbten" gibt es leider noch nicht. Wäre mal einen Idee für eine neue LIZA-Version (ich bin der Author dieses Tools): LIZA - Active Directory Analyse für Security, Berechtigungen und ACLs Gruß, Philipp
NorbertFe 2.283 Geschrieben 25. März 2011 Melden Geschrieben 25. März 2011 Mit dem kostenlosen Tool LIZA kannst du relativ schnell die Rechte für Benutzerobjekte anschauen, aber eine automatische Suche nach "nicht vererbten" gibt es leider noch nicht. Wäre mal einen Idee für eine neue LIZA-Version (ich bin der Author dieses Tools): Dann eventuell auch gleich einen "Standard"-wiederherstellen Knopf einbauen. ;) Bye Norbert
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden