Laufwerke werden plötzlich NICHT mehr gemappt > wurde AD Gruppe gelöscht?

[andrew 15]

Hallo zusammen

 

Ausgangslage

Gestern bzw. Vorgestern, am Freitag Abend, 07. Juli als ich per remote im Homeoffice arbeitete, wurden meinem 08:15 AD User beim Verbinden mit VPN noch alle Laufwerke wie immer verbunden (gemappt).

Am Samstag, 08. Juli, als ich wieder im Homeoffice arbeitete, stellte ich nach erfolgreicher, hergestellter VPN Verbindung fest, dass plötzlich eine PW Abfrage erschien. Als ich mein AD Passwort eingab, erhielt ich trotzdem keinen Zugriff auf meine rot gekreuzten Laufwerke im Datei Explorer.

 

Fehleranalyse

Ich begann, das Problem einzugrenzen und stellte fest:

- Dass ich via Homeoffice plötzlich einen Tag später, also am Samstag keinen Zugriff mehr auf meine Laufwerke hatte, lag NICHT an der VPN Verbindung, denn als ich mich auf einen virtuellen PC mit Windows 10 mit einem Test AD User einloggte, erhielt auch dieser KEIN einziges Laufwerk mehr über, nur das lokale Laufwerk C:\ war im Datei Explorer zu sehen.

- dann verwendete ich einen AD User eines zukünftigen IT-Mitarbeiters von uns, loggte mich mit seinem AD User am virtuellen Windows 10 PC ein und stellte auch fest, dass auch diesem kein Laufwerk mehr verbunden wurde.

 

Zwischenfazit

- Mehrere AD Benutzer verwendet (aus unterschiedlichen Bereichen)

- an unterschiedlichen Maschinen getestet (mein physikalischer PC via VPN) und via einen virtuellen PC mit Windows 10, an welchem ich mich mit unterschiedlichen User anmeldete, übrigens auch mit meinem pers. AD 08:15 User

 

Weitere Erkenntnisse

- Ich habe mir das DFS Verwaltungstool gestartet und stellte fest, dass auf der obersten Hierarchie im Reiter Share Permission von den 3 hinterlegte AD-Gruppen bei einer nur noch die SID S-1-2-3-4-5-.x-y-z angezeigt wird.

- Dann prüfte ich noch den Home Folder (auf der obersten Ebene) welcher das Homeverzeichnis aller User*innen beinhaltet und stellte auch da fest, dass von den 3 hinterlegten AD Gruppen ebenfalls bei einer AD Gruppe nur noch die SID SID S-1-2-3-4-5-.x-y-z angezeigt wird.

 

Fazit > AD Gruppe wurde gelöscht?!

Ich bin der Meinung, dass hier Jemand, wer auch immer und wie auch immer, eine AD-Gruppe gelöscht hat oder hatte, nach meinem Verständnis müsste dies zwischen Freitag, 07. Juli und Samstag, 08. Juli passiert sein.

 

Frage

1. Kann man irgendwie herausfinden, welche Gruppe ursprünglich hinter der noch vorhandenen SID AD Gruppe vorhanden war bzw. wie der AD Name der Gruppe ursprünglich lautete?

Da diese anscheinend einerseits zwecks Share Permission auf dem DFS Share benutzt wurde und andererseits auch auf dem übergeordneten Home Folder (Share Permission) muss nach meiner Analyse dies der Grund sein, warum kein AD User Stand jetzt KEINEN Zugriff mehr auf kein einziges Laufwerk mehr hat und dieser Umstand zwingend behoben werden muss, bevor der Montag beginnt, ansonsten wird wohl das Desaster gross sein, wenn kein einziger Mitarbeiter mehr seine Laufwerke angezeigt bekommt - im Datei Explorer.

 

2. Gibt es eine Möglichkeit, dass ich mit einem PowerShell Skript auslesen kann, wer sich auf unserem Mitgliedserver lokal sowie auch remote eingeloggt hat, um dort ggf. die Active Directory Konsole starten zu können, um schlussendlich auch die von mir genannte AD-Gruppe zu löschen?

 

Gemäss diesem MS Artikel hier müsste ich/ man sicher folgende Dinge via PowerShell in Erfahrung bringen

1. Windows Logs/ Security wäre der entsprechende Punkt in der Ereignisanzeige, welcher man im Skript einbeziehen müsste und des Weiteren dann noch

2. die Event-ID 4624 (Logon)

3. Der Anmeldetyp 2 wäre wohl der zu suchende Wert, wenn man wissen möchte, welche Person sich physikalisch bzw. via RDP am Mitgliedserver eingeloggt hat oder?

 

Ich hoffe schwer, dass ich hilfreiche Inputs erhalte.

 

P.S. Spricht etwas dagegen, auf einem DFS Share (NICHT NTFS seitig, sondern Share seitig) jeder (everyone) vertibt, anstatt auf Seite Share Permission einzelne Gruppen zu berechtigen mit unterschiedlichen Berechtigungen?

Mit der gleichen Frage ziele ich auch auf das Thema ab, einen Home Folder auf der obersten Ebene auf Seite Share Permission so zu berechtigen, nämlich, dass man jeder oder everyone mit Änderungsrechten versieht, denn nach meinem technischen Verständnis werden schlussendlich die Berechtigungen via NTFS gesteuert, da verstehe ich nicht wirklich, warum meine Vorgänger auf Share Seite diverse Gruppen mit unterschiedlichen Berechtigungen vergeben haben oder hatten.

 

cheers
André

 

[cj_berlin 1.137]

Moin,

ad 1: Recycle Bin

ad 2: dafür ist eine interaktive Anmeldung nicht erforderlich, und auch die Konsole nicht - wenn die Rechte ausreichen, kann man AD auch mit VBA-Makros aus einer Excel-Datei verwalten

ad 3: technisch kannst Du die Share auch an Everyone berechtigen. Würde Dir in diesem Fall vermutlich Recht wenig helfen. Und wenn man die Berechtigungsvergabe automatisiert, ist der Aufwand identisch.

[andrew 15]

Danke für die rasche Antwort.

Recycle Bin für AD? Ok, das AD läuft bei. Er zentralen IT, dann werde ich mein Anliegen dort plazieren.

 

vor 2 Stunden schrieb cj_berlin:

ad 2: dafür ist eine interaktive Anmeldung nicht erforderlich, und auch die Konsole nicht - wenn die Rechte ausreichen, kann man AD auch mit VBA-Makros aus einer Excel-Datei verwalten

 

Hierfür braucht es welche Rechte im Minimum?

 

Wir sprechen davon, eine AD Gruppe löschen zu können.

Nach meinem technischem Verständnis braucht es hierfür Domain Admin Rechte oder? 

vor 2 Stunden schrieb cj_berlin:

Würde Dir in diesem Fall vermutlich Recht wenig helfen

 

Wieso denn nicht?

Nach meinem Verständnis haben dadurch ALLE User*innen automatisch wieder  Berechtigungen auf Ihre Laufwerke bzw. würden diese wieder automatisch verbunden bekommen, das wäre das Ziel inkl. deren persönliches Laufwerk, welches Sie im Moment auch nicht verbunden bekommen.

 

Cheers

André

[cj_berlin 1.137]

vor 7 Minuten schrieb andrew:

Hierfür braucht es welche Rechte im Minimum?

...

Wir sprechen davon, eine AD Gruppe löschen zu können.

Nach meinem technischem Verständnis braucht es hierfür Domain Admin Rechte oder? 

Du hast die Frage doch selbst beantwortet Es braucht das Recht, diese Gruppe zu löschen. Ja, ein Domain Admin hätte dieses Recht auch, aber es könnte auch auf anderen Wegen - durchaus auch unabsichtlich - delegiert worden sein.

vor 9 Minuten schrieb andrew:

Wieso denn nicht?

Nach meinem Verständnis haben dadurch ALLE User*innen automatisch wieder  Berechtigungen auf Ihre Laufwerke bzw. würden diese wieder automatisch verbunden bekommen, das wäre das Ziel inkl. deren persönliches Laufwerk, welches Sie im Moment auch nicht verbunden bekommen.

Weil die gelöschte Gruppe nicht nur an der Share-Ebene, sondern auch im NTFS berechtigt war - oder habe ich Deinen OP falsch gelesen?

[MurdocX 904]

Hallo,

 

falls die Gruppe weg sein sollte, wird dir die Wiederherstellung aus dem AD-Papierkorb auch nur bedingt helfen. Die Mitgliedschaften sind AFAIR weg. Ob diese nun wiederhergestellt oder eine Neue angelegt wird, ist demnach vom Aufwand egal.

[cj_berlin 1.137]

vor 12 Minuten schrieb MurdocX:

Hallo,

 

falls die Gruppe weg sein sollte, wird dir die Wiederherstellung aus dem AD-Papierkorb auch nur bedingt helfen. Die Mitgliedschaften sind AFAIR weg. Ob diese nun wiederhergestellt oder eine Neue angelegt wird, ist demnach vom Aufwand egal.

Nur halb richtig  Der Auslöser für diesen Post waren ja Berechtigungen, die diese Gruppe hat(te). Und diese, sofern sie auf der SID basieren, würden ja wiederhergestellt werden. Das ist auch der Punkt, der in der Regel mehr Arbeit verursacht als herauszufinden, welche User in der Gruppe waren.

[NorbertFe 1.805]

vor 24 Minuten schrieb MurdocX:

Die Mitgliedschaften sind AFAIR weg

Nein, das ist falsch. Die werden wieder hergestellt. Nur wenn das Ding ausm Tombstone restored würde, wäre das so.

[MurdocX 904]

Klar, wir wissen ja nicht wo die Gruppe überall berechtigt ist. Hier würde sich der Aufwand unterscheiden. Anderenfalls einfach auf den File gehen, Berechtigungen der SID auslesen, Gruppe erstellen und los geht's  

 

vor 4 Minuten schrieb NorbertFe:

Nein, das ist falsch. Die werden wieder hergestellt. Nur wenn das Ding ausm Tombstone restored würde, wäre das so.

So kann einen die Erinnerung trügen. 

 

Dann wäre resultierend der Restore wohl einfacher, als neu erstellen.

[NorbertFe 1.805]

Jupp, es sei denn man leert vor dem Löschen immer erst die Gruppe. ;) Dann wär der Aufwand nahezu identisch.

[testperson 1.534]

Hi,  

vor 2 Stunden schrieb andrew:

Recycle Bin für AD? Ok, das AD läuft bei. Er zentralen IT, dann werde ich mein Anliegen dort plazieren.

 

wenn die zentrale IT die Gruppe aus dem AD Papierkorb oder dem Backup wiederhergestellt hat, könntest du mit denen sicherlich auch über das Thema "Auditing / Logging" sprechen und anfragen, ob die den Verursacher benennen können.

 

Ansonsten hätte dir an dieser Stelle evtl. auch ein Textexport der "relevanten Objekte" - viele Grüße an @NilsK an dieser Stelle :) - geholfen:

$Searchbase = "OU=JansOU,DC=ad,DC=adsvc,DC=org"
$Date = Get-Date -UFormat "%Y-%m-%d_%H-%M-%S"

Get-ADUser -SearchBase $Searchbase `
    -Filter * |
        ConvertTo-Csv -NoTypeInformation |
            Out-File $("C:\ADExport\" + $Date + "_ADUserExport.txt")

Get-ADGroup -SearchBase $Searchbase `
    -Filter * |
        ConvertTo-Csv -NoTypeInformation |
            Out-File $("C:\ADExport\" + $Date + "_ADGroupExport.txt")

Get-ADComputer -SearchBase $Searchbase `
    -Filter * |
        ConvertTo-Csv -NoTypeInformation |
            Out-File $("C:\ADExport\" + $Date + "_ADComputerExport.txt")

Get-ADServiceAccount -Filter * |
    ConvertTo-Csv -NoTypeInformation |
            Out-File $("C:\ADExport\" + $Date + "_ADMSAExport.txt")

Get-ADGroup -SearchBase $Searchbase `
    -Filter * | ForEach-Object {
        Get-ADGroupMember -Identity $_ |
            Select-Object SamAccountName |
                Out-File $("C:\ADExport\GroupMemberExport\" + $Date + "_" + $_.Name + "_Export.txt")

    }

Get-ADUser -SearchBase $Searchbase `
    -Filter * | ForEach-Object {
        Get-ADPrincipalGroupMembership -Identity $_ |
            Select-Object Name |
                Out-File $("C:\ADExport\UserGroupsExport\" + $Date + "_" + $_.Name + "_Export.txt")
    }

 

Das könnte man jetzt auch noch um die OUs / deren Struktur ergänzen oder auch auf Fileserver, wo dann die Share- und NTFS-Rechte exportiert werden.

 

Gruß

Jan

bearbeitet 9. Juli 2023 von testperson

[andrew 15]

Ich habe festgestellt, dass die gelöschte AD-Gruppe ALLE Mitarbeitenden beinhaltet hatte.

Diese Gruppe wurde nämlich vor kurzem auch von der GL verwendet, um ALLE Mitarbeitende über etwas zu informieren und wenn ich nämlich von dieser Gruppe via Outlook die Mitglieder anzeigen will, wird Niemand angezeigt.

 

 

[NorbertFe 1.805]

vor 1 Minute schrieb andrew:

Outlook die Mitglieder anzeigen will, wird Niemand angezeigt.

Man kann das in exchange auch unterbinden, dass die Mitglieder sichtbar sind. Und wenn die gelöscht wurde, warum siehst du sie dann in Outlook?

bearbeitet 9. Juli 2023 von NorbertFe

[andrew 15]

Thema Audit

Ja, wir hatten schon mal vor noch nicht langer Zeit einen Fall, wo Jemand, wer auch immer, warum auch immer, an einer AD-Gruppe Änderungen vorgenommen hatte.

 

Ich vermute, es war Jemand von meinen Vorgängern, welche unsere Firma vor kurzem verlassen hatte und nun einen Rache Akt obere mehrere auf uns plant und oder bereits umgesetzt hat und was mache ich als Leiter IT?

 

1. Diese Situation habe ich bereits der  der zentralen IT vor Monaten gemeldet.

 

Dies habe ich bereits auf Grund eines ähnlichen Vorfalls schon vor Monaten via Support Ticket tun müssen.

 

2. Als ich die IT darauf angesprochen hatte, Sie müsse Ihr AD bzw. unsere OU inkl. den zig Unter OUs Monitoren, hies es: wir können AD-Änderungen nicht weltweit für zig angeschlossene Gesellschaften loggen, da das enorme Speichervolumn bräuchte.

 

3. Darum gab es vor wenigen Monaten ein Update der IT Security Policy: da steht drin, dass nun jede Gesellschaft ein Logsystem anschaffen müsse und nach Vorgaben selbst zu konfigurieren habe.

 

4. Dieser Punkt wie noch weitere, ganz viele IT Security Optimierungen erfordern Zusatz Manpower. Diese wird mir aber auch nicht von heute auf Morgen zur Verfügung stehen können,. 

 

 

 

vor 33 Minuten schrieb NorbertFe:

Man kann das in exchange auch unterbinden, dass die Mitglieder sichtbar sind. Und wenn die gelöscht wurde, warum siehst du sie dann in Outlook

 

Weil das Mail, welche von der GL versendet wurde und diese AD Gruppe benutzte, vor wenigen Tagen eine Rundmail versendete .

 

An jenem Tag existierte diese AD Gruppe auch noch, sonst hätte er Sie nicht als Verteiler nutzen können.

 

Öffne ich heute das Outlook und navigiere zu dem Rundmail, sehe ich beim Feld «An» die AD Gruppe, welche ich via AD Tool Benutzer und Gruppen nicht mehr finde (wir haben n im Outlook den Cache aktiv}

[NorbertFe 1.805]

Tjo, dann gibts Leute bei euch, die Zuviel dürfen und machen was sie nicht sollen. Welchen Tipp möchtest du haben?

[andrew 15]

Entweder ist es so, wie Du schreibst, oder es waren meine IT-Vorgänger, welche nicht mehr da sind und ich bin nun derjenige welche, welcher die IT auf grüner Wiese aufbauen kann/ darf/ muss plus noch vieles mehr, z.B. die ganze IT auf Vordermann bringen.

 

Leider kann ich zum heutigen Zeitpunkt noch nicht schlüssig sagen, wer der "Schuldige" ist.
Was ich aber sicher weiss ist, dass ich die IT-Security mit Hochdruck verbessern muss und hierbei wäre es natürlich hilfreich zu wissen, wie ich am schnellsten herausfinde, welche Personen

 

- im Active Directory etwas machen können, was Sie nicht sollen und dürfen.

- Ich stelle mir vor, dass man ein PowerShell Skript programmieren könnte, welches prüfen würde, welche AD User Mitglied der Gruppe "Domain Admins" sind oder wären.

- Wenn ich z.B. meinen Admin AD User prüfe, stelle ich fest, dass dieser Mitglied von zig AD Gruppen ist. Diese sind dann wiederum zig mal ineinander verschachtelt. Wie kann ich daher mit einem PS Skript dieses Ziel erreichen?

- Auf welche Art und Weise könnten noch AD Usern Admin Rechte und oder erweiterte Rechte vergeben worden sein, damit Sie im AD z.B. Mitglieder einer Gruppe entfernen könnten oder sonstige Änderungen herbeiführen könnten?

 

Es muss doch irgendwie eine Möglichkeit geben, mit einem PS Skript auf diese Frage eine Antwort zu erhalten oder stelle ich mir das falsch vor?

Ich bin halt leider kein PS Guru und beschäftige mich viel zu wenig mit diesem Thema - aus Zeitgründen. Vielleicht ändert es einmal, was meine Zeit angeht, welche ich zur Verfügung habe