Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst ActiveDirectory Lesezugriff für bestimmte Benutzerobjekte verhindern

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

16.05.2012 um 11:52 Uhr, 5290 Aufrufe, 3 Kommentare

Hallo an alle IT-Professionals (und die, die es werden wollen),

in der OU "Adminkonten" befinden sich Benutzerkonten an welche administrative Rechte delegiert wurden. Authentifierzte Benutzer können per default den Inhalt
der OU sowie Benutzerattribute lesen.
Aus Sicherheitsgründen ist es jedoch sinnvoll, dass eben nicht jeder z.B. den Anmeldenamen eines solchen Kontos auslesen kann, sondern dass
dieses Recht für eine bestimmte Gruppe delegiert wird.
Es geht hier also nicht darum, prinzipiell ein bestimmtes Attribut zu verstecken, sondern für einen bestimmten Bereich zu bestimmen, wer was darf.

Per default sind "Authentifizierte Benutzer" mit dem Leserechte für die OU ausgestattet (nur dieses Objekt). Entfernt man das Leserecht für diese
Gruppe, wird sie komplett aus der ACL-Liste entfernt, da keine weiteren Rechte eingetragen sind. Ergebnis:
Die OU wird unter Active Direcotry-Benutzer und -Computer nicht mehr im "Navigation Pane" (linke Seite) angezeigt, jedoch weiterhin im Hauptfenster
mit geändertem Icon und der Typ-Bezeichnung "unbekannt". Das Problem dabei ist, dass sich die Benutzer und dessen Eigenschaften innerhalb der OU
nach wie vor durch einen authentifzierten Benutzer anzeigen lassen (z.b. über die Suchfunktion), denn jeder neu erstellte Benutzer bekommt eine
Default-ACL und in dieser sind wieder die "Authentifizierte Benutzer" eingetragen".

Das ändern der Default-ACL über das AD-Schema wäre unsinnig, es würde für alle neu angelegten Benutzer gelten.

Mögliche Lösungen:
-händisch oder per Task (Skript) die ACL-Liste der Benutzer unter der OU "Adminkonten" bearbeiten (Authentifizierte Benutzer raus, Berechtigunsgruppe rein)
-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten" lesen sollen, werden in eine Gruppe gepackt (AD_Adminkonten_DenyRead) und
diese dann in die OU-ACL eingetragen (Deny Read, dieses und alle untergeordneten Objekte)

Hat alles seine Vor- und Nachteile. Welche Lösung habt ihr parat, bzw. was empfehlt ihr?

kurz zu der Umgebung: Windows Server 2008 R2

Viele Grüße,
Mitglied: lenny4me
16.05.2012 um 15:17 Uhr
Hallo

-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter sollten meiner bescheidenen Meinung ausreichen.

Grüße
Bitte warten ..
Mitglied: Kurt.Maurer
09.06.2012, aktualisiert um 20:30 Uhr
Es ist nicht wirklich trivial, hier eine einfache Lösung zu finden.
Auch ist schwer abzuschätzen, welche Auswirkungen die Änderungen haben könnten, z.B. für bestimmte Programme die auf das AD zugreifen.

Hilfreich war für mich auch folgender Link:
http://www.faq-o-matic.net/2011/03/24/vorsicht-falle-vererbung-im-ad/

Hier hilft wohl nur ausprobieren, sich vorsichtig herantasten und vor allem gut dokumentieren.
Änderungen im AD-Schema kommen für mich zu diesem Zweck nicht in Frage, eher würde ich ein Script schreiben welches als Task
regelmäßig die gewünschten Berechtigungsänderungen vornimmt (falls Berechtigungsänderungen auf OU-Ebene nicht ausreichen sollten, da Benutzerobjekte per default die Vererbung deaktiviert haben).
Bitte warten ..
Mitglied: Kurt.Maurer
10.06.2012 um 20:53 Uhr
Zitat von lenny4me:
Hallo

> -alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter
sollten meiner bescheidenen Meinung ausreichen.

Grüße

Ein Grund zum Verstecken des Anmeldenamens bestimmter AD-Accounts wäre z.B. das Vermeiden von Denial of Service-Attacken. Versucht z.B. ein Angreifer, der bereits den Anmeldenamen weiß, eine wiederholte Authentifizierung mit falschem Passwort, so kann es bei den entsprechenden Richtlinien dazu führen, dass dieser Account gesperrt wird.
Wird dieser Account eingesetzt, um z.B. einen wichtigen Task (Backup etc.) auszuführen....nun, es muss jeder selbst entscheiden und Aufwand/Risiko abwägen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Benutzerobjekte im AD anpassen
gelöst Frage von killtecWindows Server9 Kommentare

Hallo, ich will im AD einmal "aufräumen". Ich will alle Benutzerobjekte (sind aktuell Vorname Nachname) anpassen, indem der Displayname ...

Windows Userverwaltung

Benutzer mit bestimmten Attributen aus ActiveDirectory auslesen und einer Gruppe hinzufügen

gelöst Frage von roland123Windows Userverwaltung3 Kommentare

Guten Abend, wir haben bei unseren Benutzern im ADProfil deren Abteilungen hinterlegt. Nun möchte ich gerne, dass die Benutzer ...

Windows 8

Common view Kein Lesezugriff auf C

gelöst Frage von DarkOfGhostWindows 87 Kommentare

Hallo ich habe Common view for wifi 7.0 installiert sobald ich das programm starte und er die ersten pakete ...

Windows Tools

USB-Stick nur Lesezugriff möglich?

Frage von Nathi1998Windows Tools11 Kommentare

Hallo Zusammen, ich suche nach einer Lösung um einer fremden Person meinen USB-Stick zu geben, diese aber keine Dateien ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 14 StundenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 14 StundenSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 1 TagDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 1 TagSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
Exchange Server
Exchange Postfach Einbindung Betriebs-rat -Arzt, Bewerbung .
gelöst Frage von YellowcakeExchange Server23 Kommentare

Hey ich habe da mal eine Denksport Aufgabe bekommen Genutzt wird ein Exchange Server 2010. hier gibt es den ...

Windows Server
Downgrade von Windows Server 2016 auf 2012 - Wie vorgehen?
Frage von EstefaniaWindows Server13 Kommentare

Guten Ich habe eine Frage an Erfahrene unter euch. Durch einen InPlace Upgrade wurde Windows Server 2012 auf die ...

Datenschutz
Telematikinfrastruktur Erfahrungsaustausch
Frage von MOS6581Datenschutz12 Kommentare

Moin, unter meinen Kunden befinden sich auch einige Ärzte, welche sich künftig mit der Telematikinfrastruktur-Geschichte der Gematik herumärgern dürfen. ...

Windows Server
Delgegierte OU via RDP verwalten - Objektverwaltung zuweisen
gelöst Frage von TOAOICEWindows Server12 Kommentare

Hallo, ich habe folgendes Problem. Ich möchte in meiner Domäne (Server2016), einer Gruppe (OUAdmin) Berechtigungen auf die OU Test ...