Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

ActiveDirectory Lesezugriff für bestimmte Benutzerobjekte verhindern

Frage Microsoft Windows Server

Mitglied: Kurt.Maurer

Kurt.Maurer (Level 1) - Jetzt verbinden

16.05.2012 um 11:52 Uhr, 5134 Aufrufe, 3 Kommentare

Hallo an alle IT-Professionals (und die, die es werden wollen),

in der OU "Adminkonten" befinden sich Benutzerkonten an welche administrative Rechte delegiert wurden. Authentifierzte Benutzer können per default den Inhalt
der OU sowie Benutzerattribute lesen.
Aus Sicherheitsgründen ist es jedoch sinnvoll, dass eben nicht jeder z.B. den Anmeldenamen eines solchen Kontos auslesen kann, sondern dass
dieses Recht für eine bestimmte Gruppe delegiert wird.
Es geht hier also nicht darum, prinzipiell ein bestimmtes Attribut zu verstecken, sondern für einen bestimmten Bereich zu bestimmen, wer was darf.

Per default sind "Authentifizierte Benutzer" mit dem Leserechte für die OU ausgestattet (nur dieses Objekt). Entfernt man das Leserecht für diese
Gruppe, wird sie komplett aus der ACL-Liste entfernt, da keine weiteren Rechte eingetragen sind. Ergebnis:
Die OU wird unter Active Direcotry-Benutzer und -Computer nicht mehr im "Navigation Pane" (linke Seite) angezeigt, jedoch weiterhin im Hauptfenster
mit geändertem Icon und der Typ-Bezeichnung "unbekannt". Das Problem dabei ist, dass sich die Benutzer und dessen Eigenschaften innerhalb der OU
nach wie vor durch einen authentifzierten Benutzer anzeigen lassen (z.b. über die Suchfunktion), denn jeder neu erstellte Benutzer bekommt eine
Default-ACL und in dieser sind wieder die "Authentifizierte Benutzer" eingetragen".

Das ändern der Default-ACL über das AD-Schema wäre unsinnig, es würde für alle neu angelegten Benutzer gelten.

Mögliche Lösungen:
-händisch oder per Task (Skript) die ACL-Liste der Benutzer unter der OU "Adminkonten" bearbeiten (Authentifizierte Benutzer raus, Berechtigunsgruppe rein)
-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten" lesen sollen, werden in eine Gruppe gepackt (AD_Adminkonten_DenyRead) und
diese dann in die OU-ACL eingetragen (Deny Read, dieses und alle untergeordneten Objekte)

Hat alles seine Vor- und Nachteile. Welche Lösung habt ihr parat, bzw. was empfehlt ihr?

kurz zu der Umgebung: Windows Server 2008 R2

Viele Grüße,
Mitglied: lenny4me
16.05.2012 um 15:17 Uhr
Hallo

-alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter sollten meiner bescheidenen Meinung ausreichen.

Grüße
Bitte warten ..
Mitglied: Kurt.Maurer
09.06.2012, aktualisiert um 20:30 Uhr
Es ist nicht wirklich trivial, hier eine einfache Lösung zu finden.
Auch ist schwer abzuschätzen, welche Auswirkungen die Änderungen haben könnten, z.B. für bestimmte Programme die auf das AD zugreifen.

Hilfreich war für mich auch folgender Link:
http://www.faq-o-matic.net/2011/03/24/vorsicht-falle-vererbung-im-ad/

Hier hilft wohl nur ausprobieren, sich vorsichtig herantasten und vor allem gut dokumentieren.
Änderungen im AD-Schema kommen für mich zu diesem Zweck nicht in Frage, eher würde ich ein Script schreiben welches als Task
regelmäßig die gewünschten Berechtigungsänderungen vornimmt (falls Berechtigungsänderungen auf OU-Ebene nicht ausreichen sollten, da Benutzerobjekte per default die Vererbung deaktiviert haben).
Bitte warten ..
Mitglied: Kurt.Maurer
10.06.2012 um 20:53 Uhr
Zitat von lenny4me:
Hallo

> -alle Benutzer, die nicht Objekte und deren Attribute in der OU "Adminkonten

ich wäre für diese Lösung. Aber Sicherheit durch verstecken ist nei eine gute Lösung. Sichere Passwörter
sollten meiner bescheidenen Meinung ausreichen.

Grüße

Ein Grund zum Verstecken des Anmeldenamens bestimmter AD-Accounts wäre z.B. das Vermeiden von Denial of Service-Attacken. Versucht z.B. ein Angreifer, der bereits den Anmeldenamen weiß, eine wiederholte Authentifizierung mit falschem Passwort, so kann es bei den entsprechenden Richtlinien dazu führen, dass dieser Account gesperrt wird.
Wird dieser Account eingesetzt, um z.B. einen wichtigen Task (Backup etc.) auszuführen....nun, es muss jeder selbst entscheiden und Aufwand/Risiko abwägen.
Bitte warten ..
Ähnliche Inhalte
Windows Tools
USB-Stick nur Lesezugriff möglich? (11)

Frage von Nathi1998 zum Thema Windows Tools ...

Batch & Shell
gelöst Powershell: ActiveDirectory Infos mit export-csv exportieren und formatieren (2)

Frage von MuHMuH zum Thema Batch & Shell ...

Windows 10
gelöst Herunterfahren RDP Windows 10 verhindern (4)

Frage von micha055 zum Thema Windows 10 ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 im Unternehmen? (26)

Frage von zorlayan zum Thema Windows 10 ...

LAN, WAN, Wireless
Ping u. DNS geht am Rechner nicht mehr (19)

Frage von Kuemmel zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
Raid 1 2 SSD mit Windows Server 2016 (17)

Frage von jaywee zum Thema Festplatten, SSD, Raid ...

Voice over IP
Über Fritzfax over IP gehen nur einige Faxe (12)

Frage von shearer9 zum Thema Voice over IP ...