Ralph_S 11 Geschrieben 29. Mai 2017 Melden Geschrieben 29. Mai 2017 Hallo zusammen, Ich such gerade im AD wo quasi die "Standard" Vorlage für Neue Benutzer ist, falls es überhaupt eine gibt. Weiß da zufällig jemand was drüber? Das Ich mir eigene VorlageUser bauen kann ist mir bewusst aber mir gehts darum wenn über den Button "Neuer Benutzer" ein Benutzer angelegt wird, woher bezieht der seine, Ich nen es mal Standardberechtigungen? Schönen Tag euch allen auch wenns etwas wärmer is :)
Sunny61 833 Geschrieben 29. Mai 2017 Melden Geschrieben 29. Mai 2017 Welche Standardberechtigungen meinst Du? Das Userobjekt kommt in die Gruppe der Domänen-Benutzer, mehr nicht.
Ralph_S 11 Geschrieben 29. Mai 2017 Autor Melden Geschrieben 29. Mai 2017 hi Sunny61, das ist klar welche Gruppen es bekommt. Ich mein unter Sicherheit und da die Berechtigungen die auf dem Objekt sind (erweiterte Sicherheitseinstellungen für "User" :) Die müssen ja auch "irgendwoher" kommen
Sunny61 833 Geschrieben 29. Mai 2017 Melden Geschrieben 29. Mai 2017 Das sind IMO auch Standardeinstellungen die MSFT so vorgegeben hat. Der Default also, kann man ja in jedem System so einstellen.
NilsK 3.046 Geschrieben 29. Mai 2017 Melden Geschrieben 29. Mai 2017 (bearbeitet) Moin, du meinst die Zugriffsberechtigungen auf das AD-Objekt? Die sind in der AD-Konfiguration bzw. im Schema vorgegeben. https://technet.microsoft.com/en-us/library/cc961748.aspx Was genau hast du denn vor? Gruß, Nils bearbeitet 29. Mai 2017 von NilsK
Ralph_S 11 Geschrieben 29. Mai 2017 Autor Melden Geschrieben 29. Mai 2017 Danke Nils, das ist schon mal ein Ansatz. Was ich vorhabe ist leider nicht so ganz einfach. Ich hab einen Kunden bei dem sehr stark an den AD Berechtigungen gedreht wurde...um mal ein Beispiel zu geben: Auf Domänenebene kann jeder jedem das Passwort ändern, und Send as und Receive as..... und schön vererbt. Der Kunde hatte schon diverse MSFT Calls wo ein Großteil repariert wurde, nun geht es noch um Anpassungen. Problem ist wenn die Jeder Berechtigungen entfernt werden funktionieren diverse Dienste nicht da hier wahrscheinlich nie die passenden Berechtigungen vergeben wurden. Durch Jeder und entsprechende Rechte hat das ja funktioniert.... Aktuell ist das Problem das wenn eben jene Berechtigungen entfernt werden ist es vor allem neu angelegten Usern nicht mehr möglich ist Gruppenmitgliedschaften auszulesen, was ja eigentlich jeder User können muss. Daher liegt für mich nahe das an den Standardberechtigungen die neue User bekommen auch rum gespielt wurde, deswegen würde ich mir die gerne ansehen. Hoffe das war jetzt halbwegs verständlich in Kurzform, und ja das man ein AD was MS für defekt erklärt normal nicht mehr reparieren sollte ist mir auch klar.
NilsK 3.046 Geschrieben 29. Mai 2017 Melden Geschrieben 29. Mai 2017 (bearbeitet) Moin, ja, sobald man an den AD-Berechtigungen herumspielt, bewegt man sich schnell im nicht-supporteten Bereich. Daher sollte man auch nie die Standardberechtigungen ändern und alle Änderungen nur selektiv auf eigene Objektcontainer vergeben. Solange die Berechtigungsvorlage im Schema nicht manipuliert wurden, kann man alle Objekte oder Container mit dsacls.exe wieder auf die Vorgabe zurücksetzen, es gibt dort einen eigenen Schalter dazu. Die Standardberechtigung ist für jede Objektklasse (Schema-Object vom Typ classSchema) im Attribut defaultSecurityDescriptor gespeichert. Ein Vergleich dieser Attributwerte von dem Kunden-AD mit einem frisch aufgesetzten Referenz-AD sollte schnell Klarheit geben, ob da was manipuliert wurde. Für alle Reparaturen oder Änderungen empfehle ich dringend, jemanden hinzuzuziehen, der mit solchen Sachen Erfahrungen hat. Wie gesagt - man ist dort schnell in einem Bereich, den Microsoft nicht mehr supportet. Gruß, Nils bearbeitet 29. Mai 2017 von NilsK
Ralph_S 11 Geschrieben 29. Mai 2017 Autor Melden Geschrieben 29. Mai 2017 (bearbeitet) Danke für den Hinweis mit den Schema-Object Nils, ist quasi ein Volltreffer... Referenz-AD CN=User classSchema defaultSecurityDescriptor D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AO)(A;;LCRPLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77b5b886-944a-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b2-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b3-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77b5b886-944a-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e45795b3-9455-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;RPWP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;RPWP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561) Fehlerhaftes-AD CN=User classSchema defaultSecurityDescriptor D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B3-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;WPRP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;WPRP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561) Interessant ist allerdings wenn ich Direkt ins Schema gehe und Eigenschaften/Sicherheit/erweiterte Sicherheit der Klasse User anschaue dann ist das im Fehlerhaften AD auch identisch mit dem Referenz AD... Wenn ich das richtig deute sind da einige Werte verändert worden, hab gerade noch 3 andere ADs als vergleich genommen und es schaut immer so aus wie beim Referenz AD...da hat wohl wirklich jemand gedacht er weiß was er tut.... Gruß Ralph bearbeitet 29. Mai 2017 von Ralph_S
Ralph_S 11 Geschrieben 30. Mai 2017 Autor Melden Geschrieben 30. Mai 2017 Hat jemand zufällig einen Link der die SDDL Strings aufschlüsselt? Teilweise habe ich schon was gefunden aber eben noch nicht komplett D: steht für DACL S: für SACL G: Primary Group O: Owner Aber die ganzen Buchstaben dahinter wären auch noch Interessant dazu finde ich gar nix...
NilsK 3.046 Geschrieben 30. Mai 2017 Melden Geschrieben 30. Mai 2017 Moin, also, ich finde haufenweise zu "Windows SDDL" ... wo genau ist das Problem? Gruß, Nils PS. wir sind uns hoffentlich einig, dass alle Manipulationen in einer isolierten Lab-Umgebung stattfinden ...?
Ralph_S 11 Geschrieben 30. Mai 2017 Autor Melden Geschrieben 30. Mai 2017 Selbstverständlich VMWare Workstation und da n Seperaten Server mit AD :) Ich bin halt auf der Suche nach der Auflösung der Strings oben und da hab ich nocht nix gefunden leider, also z.B D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
NilsK 3.046 Geschrieben 30. Mai 2017 Melden Geschrieben 30. Mai 2017 Moin, äh - wie suchst du denn? :confused: Ich finde z.B. auf Anhieb dies hier: https://itconnect.uw.edu/wares/msinf/other-help/understanding-sddl-syntax/ Gruß, Nils
Ralph_S 11 Geschrieben 30. Mai 2017 Autor Melden Geschrieben 30. Mai 2017 (bearbeitet) Ok Dr. Google geht an dich :/ hatte nach SDDL encoding gesucht hab da so Sachen wie das hier gefunden https://blogs.technet.microsoft.com/askds/2008/04/18/the-security-descriptor-definition-language-of-love-part-1/ aber da fehlte genau das was bei dir im Link steht :) Danke! P.S die Strings oben sehen zwar unterschiedlich aus aber das Ergebnis nach Aufschlüsselung ist das selbe... bearbeitet 30. Mai 2017 von Ralph_S
Beste Lösung NilsK 3.046 Geschrieben 30. Mai 2017 Beste Lösung Melden Geschrieben 30. Mai 2017 (bearbeitet) Moin, dann könntest du mit einem Hilfsmittel wie z.B. LIZA mal vergleichen, wie die Berechtigungen neu erzeugter Objekte denn tatsächlich sind. Wer weiß, ob die "umsortierten" Strings nicht vielleich ungültig sind und das AD dann was anderes macht, als nominell dort steht ... http://ldapexplorer.com/en/liza.htm Gruß, Nils bearbeitet 30. Mai 2017 von NilsK
Ralph_S 11 Geschrieben 1. Juni 2017 Autor Melden Geschrieben 1. Juni 2017 Ich markiere mal als gelöst, Danke Nils für deine guten Hilfestellungen!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden