Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mitgliedschaft bei den Administratoren bliebt nicht erhalten.

Mitglied: novile

novile (Level 1) - Jetzt verbinden

19.09.2008, aktualisiert 21:15 Uhr, 5453 Aufrufe, 3 Kommentare

Hallo,

Nach dem Einrichten eines neuen Benutzers und hinzufügen zu der Gruppe der Administratoren ist zunächst alles ok. Der User kann Tasks planen und den Systemstate mit NTbackup backupen.

Der Backup ist dann aber in der Nacht nicht gelaufen. Sehe ich dann nach, ob die Mitgliedschaft noch existiert, stelle ich fest, dass der User nicht mehr Mitglied ist. Das Spielchen kann ich wiederholen.

Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen solche Mitgliedschaften nach einer Zeit wieder löscht?

Gruß,

Novile
Mitglied: Yusuf-Dikmenoglu
19.09.2008 um 18:27 Uhr
Servus,

der Schuldige ist der AdminSDHolder-Prozess.

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.

Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das
Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und
2 Stunden (7200 Sekunden) liegen.

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.

Der Prozess geht dabei folgendermaßen vor:

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert
(der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf
der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen
Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert


Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:

- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren


Ab dem Service Pack 4 für Windows 2000 (oder mit
installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:

- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:

[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us

Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.

Diese Änderung muss manuell oder durch ein Skript (ein Beispielskript befindet sich im oben angegebenen Artikel) erledigt werden.

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.


Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen
solche Mitgliedschaften nach einer Zeit wieder löscht?

Diese Sicherheitsfunktion gibt es nicht erst seit dem SP2 für Windows Server 2003, sondern, bereits seit Windows 2000.


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: novile
19.09.2008 um 18:30 Uhr
Hallo Yusuf,

gut dass ich noch im Büro bin!

Ich bin total baff, dass es so einen Schutzmechanismus gibt

Vielen vielen Dank für Deine ausführliche Antwort. Ich werde sie mir noch heute Abend "reinziehen"!

Viele Grüße,

Novile
Bitte warten ..
Mitglied: GuentherH
19.09.2008 um 21:15 Uhr
@Yusuf

Ich wartete beim Lesen ständig auf den Satz - Fortsetzung des Kapitel 2 - 10 folgt nächste Woche

LG Günther
Bitte warten ..
Ähnliche Inhalte
Samba

Mit Domänenbenutzer auf Samba member Server zugreifen ohne Domänen Mitgliedschaft

gelöst Frage von stonie2oo4Samba1 Kommentar

Hallo zusammen, Ich hoffe ihr könnt mir vieleicht ein bisschen unter die Arme greifen, bei meinem Problem. Folgende Situation: ...

Outlook & Mail

Empfänger mit Outlook erhält Winmail.dat

Frage von KaeyosOutlook & Mail1 Kommentar

Hallo zusammen, auch nach googlen und durchforsten verschiedener Websites konnte ich keine Hilfe für mein "spezielles" Problem finden: Ein ...

Windows Server

SBS2011 erhält keine Update mehr

Frage von MarkowitschWindows Server6 Kommentare

Hallo liebe ITler, ich habe hier einen MS SBS2011 Server. Der Server hat immer brav alle Updates installiert, bis ...

Windows Netzwerk

Client erhält keine DHCP IP

Frage von mololeWindows Netzwerk2 Kommentare

Hallo zusammen, ich setze einen DHCP Server und einen Relay Agent auf jeweils einer Hyper-V VM ein. Ein Client ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 41 MinuteniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 14 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server37 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...