3
Merkwürdiger Eintrag bei den Sicherheitseinstellungen eines Users
Hallo Leute,
ich habe auf der Domäne der Firma eines Bekannten (W2K Server, ADS) mehrere User
gefunden, bei dem ein merkwürdiger Eintrag unter
"Sicherheitseinstellungen" erscheint: Eine Gruppe "SELBST" hat Rechte
auf diese Objekte, also die User.
Diese Gruppe erscheint aber als solche nirgendwo in der AD-Liste.
Man kann die Gruppe weder bearbeiten, noch löschen.
Dadurch ist auch unklar, was für Rechte diese Gruppe hat !
Frage(n):
Hat da wer was gebastelt um sich Zutritt zu verschaffen ?
Soll das möglicherweise eine Hintertür sein, um sich "im Notfall" Administratorenrechte zu verschaffen oder ähnliches ?
Es sei gesagt, dass einige Mitarbeiter in der Firma vor der Kündigung stehen, die zur Zeit noch Administratorenrechte haben, was die Sache ein wenig "verdächtig" macht !
Grüße,
Michael
ich habe auf der Domäne der Firma eines Bekannten (W2K Server, ADS) mehrere User
gefunden, bei dem ein merkwürdiger Eintrag unter
"Sicherheitseinstellungen" erscheint: Eine Gruppe "SELBST" hat Rechte
auf diese Objekte, also die User.
Diese Gruppe erscheint aber als solche nirgendwo in der AD-Liste.
Man kann die Gruppe weder bearbeiten, noch löschen.
Dadurch ist auch unklar, was für Rechte diese Gruppe hat !
Frage(n):
Hat da wer was gebastelt um sich Zutritt zu verschaffen ?
Soll das möglicherweise eine Hintertür sein, um sich "im Notfall" Administratorenrechte zu verschaffen oder ähnliches ?
Es sei gesagt, dass einige Mitarbeiter in der Firma vor der Kündigung stehen, die zur Zeit noch Administratorenrechte haben, was die Sache ein wenig "verdächtig" macht !
Grüße,
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 20585
Url: https://administrator.de/contentid/20585
Printed on: April 25, 2024 at 06:04 o'clock
3 Comments
Latest comment
Vielleicht wurde die Gruppe lokal angelegt (auf irgendeinen Client)?
Wenn, ja solltest Du mal schauen, wer davon Mitglied ist.
mfg icon99
Wenn, ja solltest Du mal schauen, wer davon Mitglied ist.
mfg icon99
Moin Höhlenbär,
as per Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/Def ... Self (or Self)</p>A placeholder in an ACE on a user, group, or computer object in Active Directory. When you grant permissions to Principal Self, you grant them to the security principal represented by the object. During an access check, the operating system replaces the SID for Principal Self with the SID for the security principal represented by the object.</blockquote>
Gehört demnach zu den Systemgruppen wie ERSTELLER-BESITZER etc. und kann auch so eingesetzt werden.
Damit könnte man bspw. einstellen, dass ein Benutzer Änderungen an seinem, und nur an seinem, AD-Konto vornehmen kann. Ähnlich wie man bei Druckjobs mit der Gruppe ERSTELLER-BESITZER festlegen kann, das ein User ausschließlich seine Druckjobs löschen kann.
Ist nur innerhalb des Verzeichnisses sinnvoll.
Auf einen Ordner angewandt, wird die ACE wirkungslos bleiben (ungetestet!) da der Ordner das Recht auf sich selbst erhalten würde.
Allerdings wäre das ein Erklärung für die Ordner die auf einmal nicht mehr da sind und niemand hat sie gelöscht
Hope this helps
gemini
as per Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/Def ... Self (or Self)</p>A placeholder in an ACE on a user, group, or computer object in Active Directory. When you grant permissions to Principal Self, you grant them to the security principal represented by the object. During an access check, the operating system replaces the SID for Principal Self with the SID for the security principal represented by the object.</blockquote>
Gehört demnach zu den Systemgruppen wie ERSTELLER-BESITZER etc. und kann auch so eingesetzt werden.
Damit könnte man bspw. einstellen, dass ein Benutzer Änderungen an seinem, und nur an seinem, AD-Konto vornehmen kann. Ähnlich wie man bei Druckjobs mit der Gruppe ERSTELLER-BESITZER festlegen kann, das ein User ausschließlich seine Druckjobs löschen kann.
Ist nur innerhalb des Verzeichnisses sinnvoll.
Auf einen Ordner angewandt, wird die ACE wirkungslos bleiben (ungetestet!) da der Ordner das Recht auf sich selbst erhalten würde.
Allerdings wäre das ein Erklärung für die Ordner die auf einmal nicht mehr da sind und niemand hat sie gelöscht
Hope this helps
gemini
Allerdings wäre das ein Erklärung
für die Ordner die auf einmal nicht
mehr da sind und niemand hat sie
gelöscht
für die Ordner die auf einmal nicht
mehr da sind und niemand hat sie
gelöscht
Hoffentlich liest das nie ein Anwender, sonst können sich die Admins auf noch mehr Diskussionen einstellen.
Gruss,
Thomas
