protectedFromAccidentalDeletion delegieren

[Kuddel071089 9]

Hallo zusammen,

 

ich habe zwei neue AD Gruppen erstellt, deren Mitglieder zum einen Computerobjekte und zum anderen Gruppen anlegen dürfen.

 

Welche Berechtigungen benötigten sie, um "protectedFromAccidentalDeletion" zu aktivieren?

 

Selbst "Vollzugriff" auf alle untergeordneten Computerobjekte / Gruppen in den jweiligen OUs reicht nicht.

 

 

Vielen Dank schon einmal

[LK28 11]

Hi,

 

werden die Rechte auf eine Unter-OU delegiert? Erbt diese Unter-OU eventuell Rechte von einer übergeordneten OU, die zu Konflikten führen? zB delete Child Objekte?

 

Falls du diese Accounts auch für "Computer zur Domäne hinzufügen" nutzt, Vorsicht mit LAPS (falls ihr das einsetzt oder einsetzen wollt).

 

soweit ich weiß, können die Creater-Owner von Computerobjekten immer noch das LAPS (lokaler Admin) PW auslesen

[Kuddel071089 9]

Die Berechtigungen werden direkt auf eine Unter-OU delegiert ja. Diese Unter-OU hat auch andere Berechtigungen von oben geerbt, wo aber nichts gesperrt (deny) ist.

[NilsK 3.046]

Moin,

 

hinter der Eigenschaft verbergen sich zwei Berechtigungseinträge. Die muss man also setzen können.

 

[“Objekt vor zufälligem Löschen schützen” per Skript setzen | faq-o-matic.net]
https://www.faq-o-matic.net/2010/05/21/objekt-vor-zuflligem-lschen-schtzen-per-skript-setzen/

 

Tatsächlich ist das aber auch eher ein Versteckspiel, den Effekt könnte man auch einfacher erreichen. Nur dann ist er eben nicht über das Häkchen im GUI sichtbar.

 

Um zu prüfen, wie die Berechtigungen im AD tatsächlich aussehen, ist immer noch LIZA ein gutes Hilfsmittel:

http://ldapexplorer.com/en/liza.htm

 

Gruß, Nils

 

bearbeitet 28. Juni 2023 von NilsK