Jump to content

AD Attribute vermisst


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

Schema-Admin brauchst du auf keinen Fall dafür. Und Enterprise-Admin hat hier auch nur eine Änderung des Verhaltens ergeben, weil die auch Domänen-Admins sind.

 

Wäre noch die Frage nach dem Grund. Ist bei euch die "Prä-Windows 2000"-Gruppe leer?

 

 

Wie vermutet Ist es wahrscheinlich dies hier. Hab ich aber noch nie gemacht.

 

https://msdn.microsoft.com/en-us/library/windows/desktop/aa374917%28v=vs.85%29.aspx

 

Ich halte das eher für unwahrscheinlich. Ich tippe auf die Prä-Windows-2000-Gruppe.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

hier ist die Gruppe "Prä-Windows 2000-kompatibler Zugriff" beschrieben:

 

[Active Directory information exposed to users?]
http://www.windowsecurity.com/articles-tutorials/misc_network_security/Active-Directory-information-exposed-users.html
 

Diese Gruppe hat u.a. vollen Lesezugriff auf user-Objekte. In den meisten Umgebungen sind die "Authenticated Users" Mitglied in der Gruppe, wodurch effektiv jeder auch userAccountControl lesen kann. Für höhere Sicherheit wird empfohlen, die Gruppe zu leeren - dann können eben nicht mehr alle User das Attribut lesen. Das würde das in diesem Thread diskutierte Verhalten erklären.

 

Gruß, Nils

Link zu diesem Kommentar

Hm, sehr interessant.

 

Wenn ich bei 2012 R2 die authenticated users aus der prä-win2000 raus nehme (also leer), kann ich immer noch per PS alle Userproperties auslesen. Auch wenn ich nicht Dom-Admin oder dergleichen bin. Scheint also nichts mit dem Problem des TO zu tun zu haben? Hat sich da was geändert in 2012?

 

Werde nacher mal durch deinen Link durchschmökern und auch durch die Links im Link.

bearbeitet von Reingucker
Link zu diesem Kommentar

Ich kenne Firmen (u.a. meine), bei denen Berechtigungen im AD bis auf Attribut-Ebene exakt designt werden, um die richtige Delegation zu ermöglichen. Hat was mit least privilege - required privilege - save by design zu tun :) Und ist ein Heidenspaß, weil die dann über GUIDs gesetzt werden und nicht über Konstanten oder gar Namen :(

 

Obwohl ich nicht unbedingt glaube, dass das beim TO der Fall ist.

Link zu diesem Kommentar

Moin,

 

Wenn ich bei 2012 R2 die authenticated users aus der prä-win2000 raus nehme (also leer), kann ich immer noch per PS alle Userproperties auslesen. Auch wenn ich nicht Dom-Admin oder dergleichen bin. Scheint also nichts mit dem Problem des TO zu tun zu haben? Hat sich da was geändert in 2012?

 

Werde nacher mal durch deinen Link durchschmökern und auch durch die Links im Link.

 

da es sich bei der Gruppe um eine lokale Gruppe der DCs handelt ("Builtin"), musst du den DC neu starten, damit der Effekt wirksam wird. In einer Umgebung mit mehreren DCs musst du alle neu starten.

 

Zum Testen dann nicht das vordefinierte Administrator-Konto als Zielobjekt nehmen, das hat nämlich spezielle Berechtigungen.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Die Gruppe "Pre-Windows 2000 Compatibility" hat den Member "Authenticated Users".

Bei einer OU die fünf User beinhaltet kann ich bei zwei von diesen das Attribut "Enabled" abfragen. Beim Vergleich der Berechtigungen fallen mir einige Unterschiede auf. Generell haben "Domain Admins" jedoch Full Control.

Was ist denn der ausschlaggebende Faktor auf den ich hier achten muss?

Link zu diesem Kommentar

Moin,

 

die tatsächlichen Berechtigungen schaut man sich am besten mit LIZA an:

 

http://ldapexplorer.com/en/liza.htm

 

So langsam sollten wir uns aber auch mal darüber unterhalten, was du denn eigentlich erreichen willst. Eine Abfrage nach Kennwortattributen wird ja normalerweise nur ein Admin ausführen, warum ist es hier also relevant, dass bzw. ob ein Nicht-Admin das kann?

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

@Nils

 

Ich habe zum testen, da ich im Moment nur 2 DC am laufen habe im Testnetz, einen Standarduser Karl in die Gruppe der Serveroperatoren geschoben und mich mit diesem dann am DC angemeldet, eine PS geöffnet und die weiter vorne genannten Abfragen nach "enabled" und "passwordneverexpires" erfolgreich ausgeführt. Neustart des DC hatte ich wie weiter oben beschrieben natürlich vorher ausgeführt.

 

Scheint sich was geändert zu haben in 2012.

Link zu diesem Kommentar

Generell ist mein Problem schon damit behoben, dass ich nun für das Ausführen des Scripts - welches die Attribute abfragt - den oben genannten Admin - Account (Schema- & Enterpriseadmin) benutze.

Um jedoch den Thread noch zu einer Lösung zu führen (falls das noch gewünscht ist), wäre es noch interessant herauszufinden warum ich mit meinem normalen Domain - Admin Account genau diese Attribute nicht abfragen kann.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...