Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AD "Altlast" reparieren: Doppelte SIDs

Frage Microsoft Windows Server

Mitglied: FA-jka

FA-jka (Level 2) - Jetzt verbinden

26.01.2015, aktualisiert 28.03.2015, 1618 Aufrufe, 15 Kommentare

Ich habe einen Kunden geerbt, der im Dezember 2013 ein Problem mit einem alten DC / Exchanger hatte. In diesem Zusammenhang wurde diverse Benutzer gelöscht bzw. mit identischen Zugangsdaten neu angelegt. Ich weiß nicht, welche Benutzer betroffen sind (mindestens 4, maximal 40).

Seitdem gibt es natürlich diverse Probleme: Outlook kann z.B. keine Word-Anlagen öffnen, da die Zugriffsrechte vom Ordner mit den temporären Dateien mit der alten SID verheiratet sind. Der neue Benutzer hat Vollzugriff (ich habe diesen auch schon zum Besitzer gemacht), aber irgendwie bekommt Word die Datei trotzdem nicht auf. Es scheint so, als wenn die Word-Funktion zur Bewertung von zuverlässigen Speicherorten nicht in das Verzeichnis "eintauchen" kann.

Soweit ich erkennen kann, habe ich folgende ToDos:
1. identifizieren der Altlasten - Zuordnung der alten SIDs zu den neuen Benutzern (...bekomme ich spätestens dann heraus, wenn ich mir die Zugriffsrechte eines Ordners im Profil angucke)
2. ermitteln der aktuellen SID (...kein Problem)
3. Ermittlung aller Objekte und Dateien, auf denen die alten SIDs liegen. Ermittlung, wo die Vererbung beginnt.
4. Geradeziehen der Altlasten

Gibt es da irgendwelche Tools, die einem das Leben leichter machen? Ich kann mir nicht vorstellen, dass ich der erste "Unglückliche" bin. Die Domäne läuft unter einem SBS2011.
Mitglied: emeriks
26.01.2015 um 14:01 Uhr
Hi,
kann es sein, dass der Betreff Deiner Frage komplett am Thema vorbei ist?

Es sind Benzuter gelöscht worden. Es wurden neue erstellt. Jetzt fehlen NTFS-Berechtigungen. Das ist doch das Problem, oder? Und keine "doppelten" SID - sowas geht in einem Forest gar nicht.

Welche Rechte ein Benutzer oder eine Gruppe effektiv auf einen Ordner oder eine Datei hat, das kannst Du Dir in den Sicherheitseinstellungen derselben anzeigen lassen. Damit solltest Du mal anfangen.

Und ohne Informationen über die alten Benutzer kann kein Tool des Welt einfach so die SID's vergangener Benutzer "übersetzen" und austauschen. Das muss man dann als Admin schon selbst leisten. Wenn Du weißt, welche alte SID welcher alter Benutzer oder alte Gruppe war, dann könntest Du diese z.B. mit subinacl in den ACL der Dateien und Ordner austauschen.

E.
Bitte warten ..
Mitglied: FA-jka
26.01.2015, aktualisiert um 14:33 Uhr
Da hast Du Recht, ich habe mich etwas missverständlich ausgedrückt. Mit "doppelte" SIDs meine ich nicht "2 SIDs auf einem aktiven Benutzer", sondern "ein (humanoider) Benutzer hat 2 SIDs" - nämlich eine Alte und eine Neue.

Für mich sind meine Anwender halt in erster Linie Menschen und keine "Objekte"

Ich weiß, wie man sich die Sicherheitseinstellungen anzeigen lassen kann. Allerdings liegen im Benutzerordner knapp 15000 Dateien und Unterordner mit entsprechender Vererbung der Berechtigungen. Ich denke nicht, dass man da "einfach mal so von Hand alle Dateien anklickt, untersucht und repariert".

Das Tool müsste also in etwa folgendes erledigen:

1. "Suche rekursiv alle Ordner und Dateien mit Rechten auf der SID 12345 und verschiebe diese Berechtigungen auf die SID vom Benutzer mannimustermann".
2. "Suche rekursiv alle Ordner und Dateien, bei denen die SID 12345 Owner ist und mache mannimustermann zum Owner"

Ich vemute / hoffe, dass ist genau das, was subinacl kann, oder?

Habe ich denn an anderer Stelle auch noch Altlasten; außer den NTFS-Zugriffsberechtigungen auf dem Filer und im Benutzerprofil der lokalen Festplatte?
Bitte warten ..
Mitglied: GuentherH
26.01.2015, aktualisiert um 15:27 Uhr
Hallo.

Mit "doppelte" SIDs meine ich nicht "2 SIDs auf einem aktiven Benutzer", sondern "ein (humanoider) Benutzer hat 2 SIDs" - nämlich eine Alte und eine Neue.

Nein, auch das ist falsch. Es gilt genau die Aussage von emeriks: "Es sind Benzuter gelöscht worden. Es wurden neue erstellt. Jetzt fehlen NTFS-Berechtigungen"

Für das Betriebssystem wurde ein neuer User erstellt. Aus, basta. Was jetzt zu tun ist, ist diesem User in die selben Berechtigungen auf das Dateisystem zu geben wie dem gelöschten User, der zufällig den gleichen Namen hatte wie der jetzt neu angelegte. Wenn die Berechtigen sauber über Sicherheitsgruppen vergeben wurden, dann reicht es den neuen User in die gleichen Sicherheitsgruppen zu geben.

Wenn nein, dann gilt der letzte Satz von emeriks. Alte Berechtigungen auslesen und neu vergeben. Es sollte dann aber dringend über die Vergabe der Rechte auf Basis Sicherheitsgruppen nachgedacht werden.

im Benutzerprofil der lokalen Festplatte
das ist ein typisches Zeichen, dass das Berechtigungssystem nicht verstanden wurde. Wenn der Benutzer neu angelegt wurde, dann wurde auch mit Sicherheit ein neues Profil erstellt mit dem Namen gleicher_Name_wie_vorher.001. Wenn jetzt das Profil umbenannt, kopiert oder wie auch immer wurde, dann kann es nicht mehr funktionieren. Wenn das alte Profil noch existiert, dann kann man mit einem Tool wie hier - http://www.forensit.com/domain-migration.html das Profil übernommen werden. Wenn es nicht mehr exisitiert, dann am einfachsten das neue Profil noch einmal löschen und neu anlegen lassen.

LG Günther
Bitte warten ..
Mitglied: FA-jka
26.01.2015 um 16:28 Uhr
Zitat von GuentherH:

Wenn die Berechtigen sauber über Sicherheitsgruppen vergeben wurden, dann reicht es den neuen User in die gleichen
Sicherheitsgruppen zu geben.

Das ist eigentlich erfolgt. Zumindest ist der Vergabe über Sicherheitsgruppen aktuell "glatt" und funktioniert problemlos. Der neue Benutzer hat bereits Vollzugriff auf die Ordner (inklusive Vererbung), ich kann aber trotzdem keine Word-Dokumente aus dem Verzeichnis öffnen.

Wie gesagt, ich habe das Chaos nicht fabriziert, sondern "nur" vorgefunden. Ich erläutere das mal an einem Beispiel:

Ordner: %appdata%\Roaming\Microsoft\Windows\
Owner: manni.mustermann
Vollzugriff: manni.mustermann
Wenn ich hier eine Datei ablege, kann ich diese problemlos mit Word öffnen

Ordner: %appdata%\Roaming\Microsoft\Windows\Temporary Internet Files\Content.Outlook\
Owner: 12345
Vollzugriff: manni.mustermann
Wenn ich hier eine Datei ablege, kann ich diese nicht mit Word öffnen

Ich denke, es liegt mit sehr hoher Wahrscheinlichkeit daran, dass ich "Temporary Internet Files" nicht als vertrauenswürdigen Speicherort bewerten kann. Wenn ich den zweiten Ordner testweise direkt als "Vertrauenswürdigen Speicherort" in Word festlegen möchte, bekomme ich eine Fehlermeldung, dass der Ordner nicht erreichbar ist.

Wenn der Benutzer neu angelegt wurde, dann
wurde auch mit Sicherheit ein neues Profil erstellt mit dem Namen gleicher_Name_wie_vorher.001.

Richtig. Genau so kenne ich es auch, diese Situation habe ich aber wieder Erwarten nicht vorgefunden. Ich habe ein einzelnes Profil gefunden und in den ACL einen "Mischmasch" aus der alten SID und dem aktuellen Benutzer. Somit handelt es sich nicht um ein Verständnisproblem. Das Unverständnis bezüglich der aktuellen Situation resultiert alleine daraus, dass ich erst einmal forensisch aufarbeiten muss was alles schiefgelaufen könnte. Es sind wohl heimlich einige Dinge erfolgt, die man unter Windows "einfach nicht macht". Vielleicht wurde auch eine ComputerBILD-Tuning-CD in den Domänencontroller geschoben. Wer weiß das schon...

Wenn jetzt das Profil umbenannt, kopiert oder wie auch immer wurde, dann kann es nicht mehr funktionieren.

Ich weiß wie gesagt nicht, was vorher passiert ist. Ich weiß nur, dass hier gewaltig gepfuscht wurde

Wie gesagt - das sind alles nur Vermutungen. An der Domäne wurde mehr oder weniger heimlich "herumgebastelt" und wer das war und was er genau gemacht hat, ist nicht mehr nachvollziehbar

Ich denke, aktuell ist es auch noch zu früh, da irgendwelche rekursiven Tools drüberzujagen oder Profile zu löschen. Mein Schwerpunkt liegt aktuell in der Analyse und der gedanklichen Vorbereitung.
Bitte warten ..
Mitglied: GuentherH
26.01.2015, aktualisiert um 16:46 Uhr
Ich erläutere das mal an einem Beispiel

Das Beispiel bezieht sich jetzt eindeutig auf das Profil. Und dazu habe ich ja schon meinen Teil geschrieben.

Einfachste und sauberste Vorgangsweise. Daten aus Profil wegsichern, Profil löschen und neues erstellen. Alle anderen Versuche enden in der gleichen "Bastelei" wie bisher. Einziger Vorteil, du kannst dem Kunden einen höheren Zeitaufwand verrechnen

LG Günther
Bitte warten ..
Mitglied: FA-jka
26.01.2015 um 16:55 Uhr
Zitat von GuentherH:

Einfachste und sauberste Vorgangsweise. Daten aus Profil wegsichern, Profil löschen und neues erstellen.

Das kann ich aber erst dann mit gutem Gewissen machen, wenn ich weiß, warum kein neues Profil mit dem Namen manni.mustermann.001 angelegt wird.

Und es steht ja immer noch die Frage im Raum, an welcher Stelle die Vorgehensweise (Benutzer löschen / neu anlegen) Altleichen hinterlassen haben könnte. Ich denke da z.B. an den Fileserver und den Exchanger (der Kunde vermisst keine alten E-Mails).
Bitte warten ..
Mitglied: GuentherH
26.01.2015 um 21:05 Uhr
Das kann ich aber erst dann mit gutem Gewissen machen, wenn ich weiß, warum kein neues Profil mit dem Namen manni.mustermann.001 angelegt wird.

Schau im Client in den Profileinstellungen nach. Da sind sicherlich die alten Profile noch vorhanden.

es steht ja immer noch die Frage im Raum, an welcher Stelle die Vorgehensweise (Benutzer löschen / neu anlegen) Altleichen hinterlassen haben könnte

Überall dort, wo dann nachträglich auf falsche Weise nachgebessert wurde. Also Filesystem, Profil und Postfach.

der Kunde vermisst keine alten E-Mails

Klar. Warum sollten auch E-Mails verloren gegangen sein. Aber versuche einmal einen Termin zu ändern, oder ein auf ein E-Mail zu antworten, dass vor der Bastelei erstellt wurde. Ebenfalls überprüft gehören die Outlook Autovervollständigen Liste, bzw. ob die anderen Exchange User an die neu angelegten User E-Mails senden können.

LG Günther
Bitte warten ..
Mitglied: SlainteMhath
27.01.2015 um 10:50 Uhr
Moin,

das Problem mit den kopierten/umbenannten Profilen sind nicht nur die ACLs im Dateisystem, sondern auch die ACLs im HKCU-Teil der Registry.

Evtl. könnte dir das ADMT von MS weiterhelfen - das ist eigentlich für einen Domain Migration gedacht, kann aber iirc Zuordnungen (alte SID)<->(neuer Ad User) auf NTFS und Registry-Ebene druchführen - schaus dir mal an, kann aber auch sein das ich das falsch in Erinnerung habe.

Und dann gab's da noch so ein Tool zur Berechtigungs-Restrukturierung auf NTFS... da fällt mir aber der Name eben nicht ein. War graphisch und kostenlos...

lg,
Slainte
Bitte warten ..
Mitglied: emeriks
27.01.2015 um 11:39 Uhr
Hi,
der Crasch war im Dezember 2013 ?
macht es da noch Sinn, sich über alte lokale Kopien von Benutzerprofilen und alte Postfächer nen Kopp zu machen?

E.
Bitte warten ..
Mitglied: FA-jka
27.01.2015 um 12:56 Uhr
Ja, wie gesagt - mit den "kaputten" Profilen funktionieren halt diverse Kleinigkeiten nicht. Word kann z.B. keine temporären abgelegten Dateien vom IE oder von Outlook öffnen, da es diesen Ordner als "Nicht vertrauenswürdig einstuft". Das ist nur ein Beispiel...

Aktueller Stand ist, dass der Kunde mit den Kleinigkeiten leben kann und dass seine eigentlichen Geschäftsprozesse nicht behindert werden. Da sollen jetzt auch nicht "mal so eben 10 oder 20 Stunden" reinfließen.

Ich bin mit dem Kunden so verblieben, dass ich den nächsten gelieferten Rechner bei einem Problemuser aufbaue und den dort in die Domäne hänge. Wenn dann ein sauberes Profil geschrieben wird und die Probleme dadurch verschwinden, mache ich in Rücksprache mit dem Kunden die anderen betroffenen lokalen Profile platt.
Bitte warten ..
Mitglied: emeriks
27.01.2015 um 14:12 Uhr
Habe ich das jetzt überlesen und sprechen wir hier von Roaming Profiles?
Falls ja: Da wurde dem neuen "UserX" einfach derselbe UNC eingetragen, wie beim vorherigen "UserX"?
Falls auch ja:

  1. User abmelden
  2. am Fileserver als lokaler Admin anmelden
  3. übernimm den Besitz des Roaming Profiles
  4. setze die Berechtigungen (z.B. CMD --> CACLS LW:\...\Profil-Stammordner\Benutzerordner /G NT-AUTOTITÄ\SYSTEM:F VORDEFINIERT\Administratoren:F DOMAIN\USERNAME:F
  5. übertrage den Besitz des Roaming Profiles an den betreffenden Benutzer
  6. am PC als lokaler Admin anmelden
  7. lösche die lokale Kopie des betreffenden Benutzerprofils
  8. melde den Benutzer an

E.
Bitte warten ..
Mitglied: FA-jka
27.01.2015 um 14:28 Uhr
Zitat von emeriks:

Habe ich das jetzt überlesen und sprechen wir hier von Roaming Profiles?

Nein. Es geht nur um das Profil (bzw. die Dateien) auf den lokalen Festplatten der Arbeitsplatzrechner.
Bitte warten ..
Mitglied: emeriks
27.01.2015 um 16:35 Uhr
OK. Dann entzieht es sich aber meiner Wahrnehmung, wie das von Dir geschilderte Scenario Probleme in den lokalen Profilpfaden erzeugen kann. Das muss dann andere Ursachen haben. Denn wie @GuentherH schon geschrieben hat, haben die neu erstellten Benutzer auch definitiv neue lokale Profilordner bekommen. Der Name mit der fortlaufenden Nummer am Ende, stellt kein Problem dar, nur einen Zustand. Dieser Fall tritt immer dann ein, wenn sich ein Benutzer anmeldet, für dessen Benutzername bereits ein Profilpfad existiert. (Windows leitet die Namen der lokalen Profilordner immer vom Benutzernamen ab, es sei denn, es wurde ein temporäres Profil erzeugt.) In diesem Fall wird einfach der erste frei Name aus dem Benutzernamen + "." + laufende Nummer gebildet. Dieser wird dann erstellt und mit der SID des Benutzer assoziiert.

Der Fall mit den "doppelten" Profilpfaden kann z.B. in einer Mehr-Domänen-Umgebung ganz regulär eintreten. Da Loginnamen (sAMAccountName) nur innerhalb einer Domäne eindeutig sein müssen, kann es vorkommen, dass bei mehreren Domänen ein gleicher Name in mehreren Domänen vorkommt. Melden sich nun diese gleichlautenden Benutzer nacheinander an einem Computer an, und werden die Profile nicht beim Abmelden gelöscht (Normalzustand), dann bekommt der Benutzer, welcher sich als erstes anmeldet, den reinen Benutzernamen als Profilpfadname. Der nächste + ".001", der nächste + ".002" usw. Dies ist "by design".

Wenn man jetzt natürlich Ordner aus dem Profil (z.B. %AppData%) aus einem der alte Pfade der gelöschten Benutzer in die Pfade der neuen Benutzer verschiebt, dann bekommt man Probleme wegen der Berechtigungen. Wenn man sie hingegen kopiert (ohne ACL), dann funktioniert das i.A.. Also Desktop, Favoriten, Recent und solche Pappenheimer immer kopieren, niemals verschieben. Dann klappts auch mit dem Nachbarn ...

E.
Bitte warten ..
Mitglied: gilligan
LÖSUNG 28.01.2015, aktualisiert 28.03.2015
Da eh schon alles im argen ist würde ich einfach mal versuchen das UserprofWizard von Forensit drüberzubügeln. Das zieht zwar eiigentlich Benutzerprofile von einer Domain in eine andere um, funktioniert aber auch innerhalb einer bestehenden Domain. http://www.forensit.com/
Setzt ACLs für das Benutzerprofil quasi neu.
Viel Erfolg, klingt nach einem Sch***-Job.

Gruß,
Christoph
Bitte warten ..
Mitglied: FA-jka
28.03.2015 um 20:54 Uhr
Danke für den Tipp mit dem UserprofWizard. Geiles Tool

Was das eigentliche Problem betrifft, habe ich den Anwendern einen neuen Rechner hingestellt und sie gebeten, "dort zu testen". Wenn die Probleme dort nicht auftreten, sichere ich auf dem jeweiligen Rechner alle Profile weg und erzwinge so das Anlegen eines neuen Profils.

Das hat sich als recht praktikabel erwiesen, zumal die Anwender zu 85% auf dem wts malochen und das lokale Profil hauptsächlich ein paar banale Geschichten (Drucker, Desktop usw.) enthält.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(2)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
AD Replikation zwischen untergeordneten Domäne zwingend? (1)

Frage von Gien-app zum Thema Windows Server ...

Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht (4)

Frage von JiggyLee zum Thema Windows Server ...

Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...