Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ActiveDirectory Lesezugriff für bestimmte Benutzerobjekte verhindern

Frage Microsoft Windows Server

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

16.05.2012 um 11:52 Uhr, 4936 Aufrufe, 3 Kommentare

Hallo an alle IT-Professionals (und die, die es werden wollen),

in der OU "Adminkonten" befinden sich Benutzerkonten an welche administrative Rechte delegiert wurden. Authentifierzte Benutzer können per default den Inhalt
der OU sowie Benutzerattribute lesen.
Aus Sicherheitsgründen ist es jedoch sinnvoll, dass eben nicht jeder z.B. den Anmeldenamen eines solchen Kontos auslesen kann, sondern dass
dieses Recht für eine bestimmte Gruppe delegiert wird.
Es geht hier also nicht darum, prinzipiell ein bestimmtes Attribut zu verstecken, sondern für einen bestimmten Bereich zu bestimmen, wer was darf.

Per default sind "Authentifizierte Benutzer" mit dem Leserechte für die OU ausgestattet (nur dieses Objekt). Entfernt man das Leserecht für diese
Gruppe, wird sie komplett aus der ACL-Liste entfernt, da keine weiteren Rechte eingetragen sind. Ergebnis:
Die OU wird unter Active Direcotry-Benutzer und -Computer nicht mehr im "Navigation Pane" (linke Seite) angezeigt, jedoch weiterhin im Hauptfenster
mit geändertem Icon und der Typ-Bezeichnung "unbekannt". Das Problem dabei ist, dass sich die Benutzer und dessen Eigenschaften innerhalb der OU
nach wie vor durch einen authentifzierten Benutzer anzeigen lassen (z.b. über die Suchfunktion), denn jeder neu erstellte Benutzer bekommt eine
Default-ACL und in dieser sind wieder die "Authentifizierte Benutzer" eingetragen".

Das ändern der Default-ACL über das AD-Schema wäre unsinnig, es würde für alle neu angelegten Benutzer gelten.

Mögliche Lösungen:
-händisch oder per Task (Skript) die ACL-Liste der Benutzer unter der OU "Adminkonten" bearbeiten (Authentifizierte Benutzer raus, Berechtigunsgruppe rein)
-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten" lesen sollen, werden in eine Gruppe gepackt (AD_Adminkonten_DenyRead) und
diese dann in die OU-ACL eingetragen (Deny Read, dieses und alle untergeordneten Objekte)

Hat alles seine Vor- und Nachteile. Welche Lösung habt ihr parat, bzw. was empfehlt ihr?

kurz zu der Umgebung: Windows Server 2008 R2

Viele Grüße,
Mitglied: lenny4me
16.05.2012 um 15:17 Uhr
Hallo

-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter sollten meiner bescheidenen Meinung ausreichen.

Grüße
Bitte warten ..
Mitglied: Kurt.Maurer
09.06.2012, aktualisiert um 20:30 Uhr
Es ist nicht wirklich trivial, hier eine einfache Lösung zu finden.
Auch ist schwer abzuschätzen, welche Auswirkungen die Änderungen haben könnten, z.B. für bestimmte Programme die auf das AD zugreifen.

Hilfreich war für mich auch folgender Link:
http://www.faq-o-matic.net/2011/03/24/vorsicht-falle-vererbung-im-ad/

Hier hilft wohl nur ausprobieren, sich vorsichtig herantasten und vor allem gut dokumentieren.
Änderungen im AD-Schema kommen für mich zu diesem Zweck nicht in Frage, eher würde ich ein Script schreiben welches als Task
regelmäßig die gewünschten Berechtigungsänderungen vornimmt (falls Berechtigungsänderungen auf OU-Ebene nicht ausreichen sollten, da Benutzerobjekte per default die Vererbung deaktiviert haben).
Bitte warten ..
Mitglied: Kurt.Maurer
10.06.2012 um 20:53 Uhr
Zitat von lenny4me:
Hallo

> -alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter
sollten meiner bescheidenen Meinung ausreichen.

Grüße

Ein Grund zum Verstecken des Anmeldenamens bestimmter AD-Accounts wäre z.B. das Vermeiden von Denial of Service-Attacken. Versucht z.B. ein Angreifer, der bereits den Anmeldenamen weiß, eine wiederholte Authentifizierung mit falschem Passwort, so kann es bei den entsprechenden Richtlinien dazu führen, dass dieser Account gesperrt wird.
Wird dieser Account eingesetzt, um z.B. einen wichtigen Task (Backup etc.) auszuführen....nun, es muss jeder selbst entscheiden und Aufwand/Risiko abwägen.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (4)

Frage von micha055 zum Thema Windows 10 ...

Netzwerke
VPN nur für bestimmte Port(s) verwenden unter Win10 (1)

Frage von Bluebrain zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...