Jump to content

ADS, Probleme mit Vererbung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

wir haben hier eine Windows 2003 ADS Struktur mit 2 Windows 2003 Standard Edition Servern, die den Global Catalog führen. Für die Benutzerverwaltung haben wir eine OU Struktur angelegt, die zum Großteil unserem Organigramm entspricht. Damit die User einige Parameter für die angeschlossene Telephonie ändern können, ist es erforderlich ihnen Schreib- und Leserechte auf spezielle Benutzerdefinierten Objekte in der ADS zu geben. Wir haben die Rechte auf der obersten Ebene eingerichtet und wollen sie in die OUs und den Usern vererben. Die Vererbung in die OUs funktioniert. Wenn ich allerding die Vererbung bei den Benutzern aktiviere, dann wird der Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten" nach etwa einer Stunde wieder entfernt. Ein Replikationsproblem ist es nicht, da der Haken sauber auf beiden Domänencontrolern gesetzt ist und nach etwa einer Stunde entfernt wird.

 

Hat jemand eine Idee woran das liegen könnte und was ich tun kann um das Problem zu lösen?

 

Viele Grüße,

Michael

Link zu diesem Kommentar

Servus,

 

Wenn ich allerding die Vererbung bei den Benutzern aktiviere, dann wird der Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten" nach etwa einer Stunde wieder entfernt.

 

hmm... das riecht mir sehr nach dem AdminSDHolder-Prozess.

In welchen Gruppen sind die Benutzerkonten denen du das delegieren möchtest Mitglied?

 

Zur Erklärung:

 

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von Dienstadministratorgruppen sind, speziell schützt.

Der Domänencontroller, der die FSMO - Rolle des PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste eines speziellen AdminSDHolder - Objekts übereinstimmen.

 

Hinweis: Wenn im folgenden Registry - Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig

nicht existiert), dann lautet das Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und 2 Stunden (7200 Sekunden) liegen.

 

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten ausführen können.

 

Der Prozess geht dabei folgendermaßen vor:

 

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen Attribute „adminCount“ auf den Wert von größer 0

- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert (der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen Konten gilt.

- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD> und dient als Vorlage für alle administrativen Konten.

- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert

 

Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich Service Pack 3 werden durch den AdminSDHolder geschützt:

 

- Organisations-Administratoren

- Schema - Administratoren

- Domänen - Administratoren

- Administratoren

 

Ab dem Service Pack 4 für Windows 2000 (oder mit installiertem Hotfix 327825 auch mit früherem SP) / Windows Server 2003 werden folgende Gruppen mitgeschützt:

 

- Server - Operatoren

- Sicherungs - Operatoren

- Konten - Operatoren

- Druck - Operatoren

- Zertifikatherausgeber

 

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

 

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein Hotfix installiert werden, der aus diesem Artikel angefordert werden kann Delegated permissions are not available and inheritance is automatically disabled. Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

 

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des AdminSDHolder`s zu erzielen.

Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren. Diese Änderung muss manuell oder durch ein Script (ein Beispielscript befindet sich im oben angegebenen Artikel) erledigt werden.

 

...to be continued.

Link zu diesem Kommentar

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

 

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“ vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen Domänencontrollern zu kontrollieren.

 

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder, CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

 

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.

 

 

Du kannst dir über den AdminSDHolder auch diese Artikel anschauen:

Search The Knowledge Base

Link zu diesem Kommentar
  • 4 Monate später...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...