phatair 38 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Hallo zusammen, ich habe mal wieder eine kurze Frage, da mir ein Punkte in der Delegierung von Berechtigungen in der AD nicht ganz klar ist. Wenn ich einer Gruppe unter "Benutzerdefinierte Aufgaben" den Bereich "Computer Objekte zuweise und die Haken setze bei "Gewählte Objekte in diesem Ordner erstellen / löschen" und unter Berechtigungen "Lesen" auswähle, hat die Gruppe anschließend auf alle Computer Objekte in der OU und den untergeordneten OUs die entsprechenden Rechte (es kann Lesen und Computer Objekte löschen und erstellen) Wozu gibt es dann aber im Bereich "Berechtigungen" die Werte "Alle untergeordneten Objekte erstellen bzw. löschen". Mache ich die Schritte wie folgt -> unter "Benutzerdefinierte Aufgaben" den Bereich "Computer Objekte zuweise und die Haken bei "Gewählte Objekte in diesem Ordner erstellen / löschen" nicht setzen und dann unter Berechtigungen "Lesen" + "Alle untergeordneten Objekte erstellen bzw. löschen" auswähle, hat die Gruppe anschließend auf alle Computer Objekte in der OU und den untergeordneten OUs die entsprechenden Rechte (es kann Lesen und Computer Objekte löschen und erstellen). Der "Bereich" ist doch der Wert für den die Berechtigungen dann gelten? Also Bereich Computer gilt dann für alle Computer Objekte und mit den Berechtigungen sage ich dann, was genau mit diesen Computer Objekten gemacht werden darf. Oder übersehe ich hier etwas? Was ist der Unterschied der beiden Optionen? Vielen Dank. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Moin, der Unterschied ist: "gewählte Objekte" sind nur die Klassen, die du darüber ausgewählt hast. "Alle Objekte" sind alle Klassen, also Computer, Kontakte, User, crossRef, passwordSettingsObjects oder was immer dir einfällt. Aber ein ganz dringender Rat: Verwalte die AD-Berechtigungen nicht* über das GUI. Und schon gar nicht über den Delegations-Assistenten. Mach sowas nur per Skript und teste es vorher in einem separierten Testlabor. Es gibt dafür ein Kommandozeilentool, das zwar gewöhnungsbedürftig ist, aber alles Wichtige kann. Eine kurze Einweisung findest du im zweiten Abschnitt in diesem Artikel: [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils PS. genauer sollte hier stehen: NIE, NIE, NIE Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 vor 10 Minuten schrieb NilsK: PS. genauer sollte hier stehen: NIE, NIE, NIE 2 Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 19. April 2023 Autor Melden Teilen Geschrieben 19. April 2023 vor 9 Stunden schrieb NilsK: Moin, der Unterschied ist: "gewählte Objekte" sind nur die Klassen, die du darüber ausgewählt hast. "Alle Objekte" sind alle Klassen, also Computer, Kontakte, User, crossRef, passwordSettingsObjects oder was immer dir einfällt. Aber ein ganz dringender Rat: Verwalte die AD-Berechtigungen nicht* über das GUI. Und schon gar nicht über den Delegations-Assistenten. Mach sowas nur per Skript und teste es vorher in einem separierten Testlabor. Es gibt dafür ein Kommandozeilentool, das zwar gewöhnungsbedürftig ist, aber alles Wichtige kann. Eine kurze Einweisung findest du im zweiten Abschnitt in diesem Artikel: [AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net] https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/ Gruß, Nils PS. genauer sollte hier stehen: NIE, NIE, NIE Danke Nils. Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll? Ich möchte nur eine Gruppe mit einem Service Account für die ou berechtigen, da dieser beim onboarding Prozess die computer Objekte dorthin verschieben können muss. Ich habe auch schon mit dem Assistenten Berechtigungen vergebe und danach geprüft. Die Berechtigungen waren korrekt gesetzt. In deinem verlinkten Artikel wird die Dokumentation und die Tests genannt, aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen. Klar kann man jetzt sagen, was spricht dagegen sich in die cli einzuarbeiten, ein Grund ist hier die fehlende Zeit und die Notwendigkeit, wenn es schon Möglichkeiten gibt die genau das tun was man möchte. Daher würde mich der Grund interessieren Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 vor 33 Minuten schrieb phatair: Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll? Sie ist unübersichtlich und langsam. Und nachdem du ok gedrückt hast findest du nie wieder raus, was du bestätigt hast. vor 34 Minuten schrieb phatair: aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen. Das ist dann dein Problem. Jeder muss offenbar aus seinen eigenen Fehlern lernen. vor 35 Minuten schrieb phatair: Daher würde mich der Grund interessieren Eigentlich interessiert er dich gar nicht. Du willst nur hören, dass du auch die gui nutzen kannst. also hier für dich: benutze die gui, wenn dir das gefällt. ;) 3 Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 19. April 2023 Autor Melden Teilen Geschrieben 19. April 2023 (bearbeitet) Hi Norbert, hast du einen schlechten Tag gehabt oder warum reagierst du so negativ und sarkastisch? Nein, es ist mir nicht egal und ich frage nicht nach, um zu hören, dass ich die gui nutzen soll. Verstehe überhaupt nicht wie du darauf kommst. Dann würde ich es einfach machen und nicht nach dem Grund fragen. Ich brauche doch nicht das ok von jemanden. Ich habe erklärt, dass meine Berechtigungen minimal sind und es könnte ja sein, dass eure Meinung zu der Berechtigung vor allem auf große Änderungen in komplexen Umgebungen beruht. Aber gut. Lassen wir das Thema einfach. Ich habe manchmal echt das Gefühl, wenn man hier etwas nachfragt, dass sich einige Personen hier immer angegriffen fühlen und man Sie und ihre Antwort in Frage stellt. Das habe ich in keiner Weise getan und wollte einfach nur wissen warum eine Aussage so drastisch formuliert wurde (NIE die gui verwenden). Habe es soweit verstanden. Danke. Gruß, Steffen bearbeitet 19. April 2023 von phatair 2 Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Bitte zurück zum Thema und keine persönlichen Angriffe - Danke. @phatair: Der Grund und Zweck unserer Community ist anderen zu helfen, Du bist hier schon richtig. Und in der Regel soll das auch mit Geduld und Muße geschehen. Bitte agiert danach. Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 @phatairSchau dir in diesem Link die Antwort von Steven Griffits an, das sollte dir helfen: https://social.technet.microsoft.com/Forums/Account/Login?ReturnUrl=https%3a%2f%2fsocial.technet.microsoft.com%3a443%2fforums%2fwindowsserver%2fen-US%2f34ce67fc-c9bb-41a5-894f-1dae7d60bda0%2fjoint-domain-without-domain-admin%3fforum%3dwinserversecurity%26prof%3drequired Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Hi, hast Du die URL ohne den Login- und Registrierungs-Part? So ist es nicht öffentlich erreichbar VG Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Moin, die Gründe sind in meinem Artikel eigentlich schon recht umfassend aufgezählt. Wenn die dich nicht überzeugen, werde ich vermutlich hier auch nicht mehr viel tun können. So mag sich Norberts Reaktion erklären. Das GUI ist sehr unübersichtlich - wie du ja selbst gemerkt hast, daher deine Frage hier - und verleitet zu falschen Annahmen. Der Assistent kann nur neu zuweisen und verschweigt die vorhandenen Berechtigungen. AD-Berechtigungen können aber sehr heikel sein - ruck-zuck hat man Dinge kaputt gemacht, die man mit dem GUI nicht mehr vernünftig repariert bekommt. Oder man hat Lücken aufgerissen, von denen nach zehn Minuten niemand mehr was weiß. Ich gehöre zu den Menschen, die auch bei kurzen Fahrten den Gurt im Auto anlegen. Eine Bagatellgrenze gibt es für AD-Berechtigungen aus meiner Sicht - und aus meiner Erfahrung - nicht. Wenn du weder testen noch dokumentieren willst, musst du das selbst wissen. Ich habe den Anspruch, Leute in diesem Forum darauf hinzuweisen, wenn sie aus meiner Sicht etwas auf ungünstige Weise angehen. Falls du doch Interesse haben solltest, empfehle ich neben dsacls-Skripten das Analyse-Tool LIZA: [Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net] https://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/ sowie zur umfassenden Analyse und Doku dies hier: [Berechtigungen in Active Directory dokumentieren | faq-o-matic.net] https://www.faq-o-matic.net/2013/05/27/berechtigungen-in-active-directory-dokumentieren/ Gruß, Nils 2 1 Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 vor 2 Stunden schrieb Lian: hast Du die URL ohne den Login- und Registrierungs-Part? So ist es nicht öffentlich erreichbar Oja, Entschuldigung: https://social.technet.microsoft.com/Forums/windowsserver/en-US/34ce67fc-c9bb-41a5-894f-1dae7d60bda0/joint-domain-without-domain-admin?forum=winserversecurity 2 Zitieren Link zu diesem Kommentar
Lian 2.332 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 Danke Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 20. April 2023 Melden Teilen Geschrieben 20. April 2023 vor 19 Stunden schrieb phatair: Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll? Kann man schon machen - mache sogar ich ab und zu, um schnell mal was auszuprobieren. Wenn es aber reproduzier- und nachvollziehbar sein soll (oder wie bei uns meistens sogar MUSS), dann ist ein Skript oder Befehlszeilenaufruf die bessere Variante. Die kann man irgendwo (revisionssicher) speichern und beliebig oft wiederholen. Und mit kleinen Anpassungen dann für ähnliche Aufgaben super schnell modifizieren - "code reuse" 2 1 Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 21. April 2023 Autor Melden Teilen Geschrieben 21. April 2023 Danke an alle. Vielleicht hatte ich mich mit der Aussage "In deinem verlinkten Artikel wird die Dokumentation und die Tests genannt, aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen." etwas schlecht ausgedrückt. Ich wollte damit keinesfalls sagen, dass es für mich sinnlos ist, sondern bei einer Berechtigung auf 1 OU (wie in unseren aktuellen Fällen) ich es persönlich nicht so gravierend finde. Sinn macht es natürlich schon, auch diese Berechtigungen zu dokumentieren, da gebe ich euch vollkommen Recht. Grundsätzlich bin ich für die Tipps und die Hilfe hier immer sehr dankbar. Alles können wir nicht 1:1 umsetzen, aber es hilft sehr Prozesse zu optimieren. Ich werde mir die Tools anschauen und eure Ratschläge zu Herzen nehmen. Gerade der Punkt "code reuse" ist auch sinnvoll, wenn man die Berechtigungen nicht so oft macht. Dann hat man einfach etwas vorgefertigtes, spart Zeit und reduziert Fehler. Ich habe die Einwände also verstanden. Das nächste Mal versuche ich meine Nachfrage gezielter zu stellen, dann vermeiden wir hoffentlich die OT Diskussion Danke auch für die Info Links und das Tool Liza. 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.