dsrevoke stürzt immer ab auf 2012R2

[2008R264bit 10]

Hallo,

ich möchte delegierte Rechte (Objektverwaltung zuweisen) im AD wieder entfernen.

Vom Microsoft-Support wurde mir dsrevoke ans Herz gelegt.

Grundsätzlich lässt sich die exe aufrufen, stürzt aber mit dem Parameter report oder remove ab. Wir haben es in drei verschiedenen Domänen getestet: immer Crash

 

Dsrevoke /Report OU=aaa,DC=yyy,DC=xxx,DC=de Domäne\Konten-Operatoren

Falls wir mit dsrevoke nicht weiterkommen, bräuchte ich ein Tool oder Befehl, mit dem ich von einer OU mit allen UnterOUs und Objekten die Rechte für die Konten-Operatoren entfernen kann.

 

Danke im Voraus für Eure Unterstützung

[testperson 1.528]

Hi,

 

eine Alternative wäre "dcacls".

 

HTH

Jan

[NorbertFe 1.799]

Fürs Reporting geht evtl. auch:

https://github.com/canix1/ADACLScanner

 

[2008R264bit 10]

Danke für die schnellen Antworten.

Reporting reicht leider nicht, ich muss die Rechte der Gruppe entfernen.

dcacls schaue ich mir an.

 

stürzt dsrevoke bei euch auch ab?

 

Set objSdUtil = GetObject("LDAP://OU=xxxxxDC=de")
Set objSD = objSdUtil.Get("ntSecurityDescriptor")
Set objDACL = objSD.DiscretionaryACL

For Each objACE in objDACL
   If objACE.Trustee = "Domäne\Konten-Operatoren" Then
       objDACL.RemoveAce objACE
   End If
Next

objSD.DiscretionaryAcl = objDacl
objSDUtil.Put "ntSecurityDescriptor", Array(objSD)
objSDUtil.SetInfo

 

----------------------------------

 

wenn ich dieses VBS ausführe erhalte ich immer einen Fehler, auch mit dem Domänenadmin

 

[NilsK 2.785]

Moin,

 

gemeint ist "dsacls", das hat einen Schalter, um die Berechtigungen für Objekte auf den Standard zurückzusetzen (also auf die Berechtigungen, die gemäß Objektklasse vorgesehen sind). Ob das zu deinem Szenario passt, weiß ich nicht. Sonst müsstest du mit den Einzelaktionen arbeiten, was aber hakelig ist.

 

Gruß, Nils

 

[daabm 1.184]

vor 4 Stunden schrieb 2008R264bit:

For Each objACE in objDACL
   If objACE.Trustee = "Domäne\Konten-Operatoren" Then

 

Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel

 

BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen

[2008R264bit 10]

Am 29.7.2022 um 19:27 schrieb daabm:

 

Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel   Ja, das kann gut sein. Konten-Operatoren haben von Anfang an schon diese Berechtigungen.

 

BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen

Ja, hat die 2 Leerzeilen gelöscht. Also Fehler bei objSDUtil.SetInfo.

Ich glaube ich löse das Problem, indem ich die User aus den Konten-Operatoren entferne und über eine neue Gruppe die passenden Berechtigungen vergebe. Dann kann ich das auch in Zukunft anpassen.

Danke für die Tips

 

 

[NilsK 2.785]

Moin,

 

wenn es tatsächlich um die Gruppe Konten-Operatoren geht und das nicht nur ein unglückliches Beispiel war - dann wäre es weit besser, die Gruppe Konten-Operatiren zu leeren und zu überwachen, dass sie immer leer ist. Diese Gruppe braucht seit Windows NT niemand mehr, dafür erzeugt sie erhebliche Risiken. Da sie durch die Vererbung aber immer wieder auftaucht, geht man das Problem besser an einer geeigneten Stelle an - nämlich indem man die Gruppe nicht verwendet und leer lässt (Letzteres kann man auch periodisch per Skript oder GPO erzwingen).

 

Gruß, Nils