5
Vererbbare Berechtigungen des übergeordneten Objekts einschließen
Hallo Community,
da mir gerade schon so gut geholfen wurde noch eine letzte Frage:
Unter den erweiterten Sicherheitseinstellungen von Benutzer-Objekten im AD haben einige User den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" nicht gesetzt, wodurch neue Sicherheitseinstellungen nicht greifen. Gibt es eine Möglichkeit übergreifend alle User einer OU mit dem Merkmal (also einem Haken) zu versehen? Bei über 2000 Objekten würde ich ungerne in jedes einzelne gehen.
Grüße
da mir gerade schon so gut geholfen wurde noch eine letzte Frage:
Unter den erweiterten Sicherheitseinstellungen von Benutzer-Objekten im AD haben einige User den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" nicht gesetzt, wodurch neue Sicherheitseinstellungen nicht greifen. Gibt es eine Möglichkeit übergreifend alle User einer OU mit dem Merkmal (also einem Haken) zu versehen? Bei über 2000 Objekten würde ich ungerne in jedes einzelne gehen.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276273
Url: https://administrator.de/contentid/276273
Printed on: April 26, 2024 at 09:04 o'clock
5 Comments
Latest comment
Hi,
kann es sein, dass diese "einige User" allesamt Mitglieder der Domänen-Admins oder gar der BuiltIn\Administratoren sind? Falls ja, dann kannst Du da scripten was Du willst. AD wird bei diesen Benutzern die Vererbung immer wieder rausnehmen.
E.
kann es sein, dass diese "einige User" allesamt Mitglieder der Domänen-Admins oder gar der BuiltIn\Administratoren sind? Falls ja, dann kannst Du da scripten was Du willst. AD wird bei diesen Benutzern die Vererbung immer wieder rausnehmen.
E.
Nein, leider nicht. Daran hatte ich auch schon gedacht. Es handelt sich hierbei jedoch nur um ganz normale User, die alle vor 2009 angelegt worden. - Möglicherweise ist damals was bei der Umstellung des DCs schief gelaufen - ich war damals zumindest noch nicht hier.
Hallo Shadovv,
das könnte etwa so aussehen:
Im aktuellen Zustand werden alle User in der angegebenen OU verarbeitet inkl. Unter-OUs. Möchtest du das nicht musst du bei Get-ADUser den Parameter -SearchScope OneLevel zusätzlich angeben
Grüße Uwe
das könnte etwa so aussehen:
Get-AdUser -Filter * -SearchBase "OU=Marketing,dc=contoso,dc=de" | %{
$acl = get-acl "AD:$($_.distinguishedName)"
$inherited = $acl.Access | ?{$_.IsInherited}
if (!$inherited){
write-host "Aktiviere die Vererbung der Object-ACL des Users $($_.SamAccountName)"
$acl.SetAccessRuleProtection($false,$true)
Set-Acl "AD:$($_.distinguishedName)" $acl
}
}Grüße Uwe
2
Super, vielen Dank. Hat eine Menge Arbeit erspart.
Tortzdem würde ich das was @emeriks schon angedeutet hat, auch beachten:
Stichwort AdminSDHolder: AD Berechtigungen : Der AdminSDHolder Mechanismus
Zitat:
Grüße Uwe
Stichwort AdminSDHolder: AD Berechtigungen : Der AdminSDHolder Mechanismus
Zitat:
Beim Umgang mit Active Directory Objektberechtigungen bemerken AD Administratoren des Öfteren einen seltsamen Effekt: Berechtigungen, die man auf Ebene einer bestimmten OU gesetzt hat, gelten auf einmal nicht mehr auf bestimmte Benutzer oder Gruppen, dies sich in der betreffenden OU befinden. Ein Helpdesk-Mitarbeiter oder User-Admin kann hier auf einmal nicht mehr das Passwort eines bestimmten Benutzers zurücksetzen, er kann keine Telefonnummer oder Mail-Adresse im Benutzerkonto ändern, oder er kann einer Gruppe keine neuen Mitglieder hinzufügen. Stets lautet die Fehlermeldung: Zugriff verweigert / Keine ausreichenden Berechtigungen.