Jump to content

Berechtigungen für neu angelegte User


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen, 

 

Ich such gerade im AD wo quasi die "Standard" Vorlage für Neue Benutzer ist, falls es überhaupt eine gibt. Weiß da zufällig jemand was drüber?

Das Ich mir eigene VorlageUser bauen kann ist mir bewusst aber mir gehts darum wenn über den Button "Neuer Benutzer" ein Benutzer angelegt wird, woher bezieht der seine, Ich nen es mal Standardberechtigungen?

 

Schönen Tag euch allen auch wenns etwas wärmer is :)

Link zu diesem Kommentar

Danke Nils, 

 

das ist schon mal ein Ansatz. Was ich vorhabe ist leider nicht so ganz einfach. Ich hab einen Kunden bei dem sehr stark an den AD Berechtigungen gedreht wurde...um mal ein Beispiel zu geben: Auf Domänenebene kann jeder jedem das Passwort ändern, und Send as und Receive as..... und schön vererbt. 

Der Kunde hatte schon diverse MSFT Calls wo ein Großteil repariert wurde, nun geht es noch um Anpassungen. Problem ist wenn die Jeder Berechtigungen entfernt werden funktionieren diverse Dienste nicht da hier wahrscheinlich nie die passenden Berechtigungen vergeben wurden. Durch Jeder und entsprechende Rechte hat das ja funktioniert....

Aktuell ist das Problem das wenn eben jene Berechtigungen entfernt werden ist es vor allem neu angelegten Usern nicht mehr möglich ist Gruppenmitgliedschaften auszulesen, was ja eigentlich jeder User können muss. 

Daher liegt für mich nahe das an den Standardberechtigungen die neue User bekommen auch rum gespielt wurde, deswegen würde ich mir die gerne ansehen.

 

Hoffe das war jetzt halbwegs verständlich in Kurzform, und ja das man ein AD was MS für defekt erklärt normal nicht mehr reparieren sollte ist mir auch klar.

Link zu diesem Kommentar

Moin,

 

ja, sobald man an den AD-Berechtigungen herumspielt, bewegt man sich schnell im nicht-supporteten Bereich. Daher sollte man auch nie die Standardberechtigungen ändern und alle Änderungen nur selektiv auf eigene Objektcontainer vergeben.

Solange die Berechtigungsvorlage im Schema nicht manipuliert wurden, kann man alle Objekte oder Container mit dsacls.exe wieder auf die Vorgabe zurücksetzen, es gibt dort einen eigenen Schalter dazu.

 

Die Standardberechtigung ist für jede Objektklasse (Schema-Object vom Typ classSchema) im Attribut defaultSecurityDescriptor gespeichert. Ein Vergleich dieser Attributwerte von dem Kunden-AD mit einem frisch aufgesetzten Referenz-AD sollte schnell Klarheit geben, ob da was manipuliert wurde. Für alle Reparaturen oder Änderungen empfehle ich dringend, jemanden hinzuzuziehen, der mit solchen Sachen Erfahrungen hat. Wie gesagt - man ist dort schnell in einem Bereich, den Microsoft nicht mehr supportet.

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar

Danke für den Hinweis mit den Schema-Object Nils, ist quasi ein Volltreffer...

 

 

Referenz-AD CN=User classSchema defaultSecurityDescriptor

D:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;DA)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;AO)(A;;LCRPLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77b5b886-944a-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b2-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RPWP;e45795b3-9455-11d1-aebd-0000f80367c1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77b5b886-944a-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e45795b3-9455-11d1-aebd-0000f80367c1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;RPWP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;RPWP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561)

 

Fehlerhaftes-AD CN=User classSchema defaultSecurityDescriptor

D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B3-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)(OA;;WPRP;6db69a1c-9422-11d1-aebd-0000f80367c1;;S-1-5-32-561)(OA;;WPRP;5805bc62-bdc9-4428-a5e2-856a0f4c185e;;S-1-5-32-561)

 

 

Interessant ist allerdings wenn ich Direkt ins Schema gehe und Eigenschaften/Sicherheit/erweiterte Sicherheit der Klasse User anschaue dann ist das im Fehlerhaften AD auch identisch mit dem Referenz AD...

 

Wenn ich das richtig deute sind da einige Werte verändert worden, hab gerade noch 3 andere ADs als vergleich genommen und es schaut immer so aus wie beim Referenz AD...da hat wohl wirklich jemand gedacht er weiß was er tut....

 

Gruß Ralph

bearbeitet von Ralph_S
Link zu diesem Kommentar

Ok Dr. Google geht an dich :/ hatte nach SDDL encoding gesucht 

 

hab da so Sachen wie das hier gefunden https://blogs.technet.microsoft.com/askds/2008/04/18/the-security-descriptor-definition-language-of-love-part-1/

 

aber da fehlte genau das was bei dir im Link steht :)

 

Danke! 

 

P.S die Strings oben sehen zwar unterschiedlich aus aber das Ergebnis nach Aufschlüsselung ist das selbe...

bearbeitet von Ralph_S
Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

dann könntest du mit einem Hilfsmittel wie z.B. LIZA mal vergleichen, wie die Berechtigungen neu erzeugter Objekte denn tatsächlich sind. Wer weiß, ob die "umsortierten" Strings nicht vielleich ungültig sind und das AD dann was anderes macht, als nominell dort steht ...

 

http://ldapexplorer.com/en/liza.htm

 

Gruß, Nils

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...