3
Mitgliedschaft bei den Administratoren bliebt nicht erhalten.
Hallo,
Nach dem Einrichten eines neuen Benutzers und hinzufügen zu der Gruppe der Administratoren ist zunächst alles ok. Der User kann Tasks planen und den Systemstate mit NTbackup backupen.
Der Backup ist dann aber in der Nacht nicht gelaufen. Sehe ich dann nach, ob die Mitgliedschaft noch existiert, stelle ich fest, dass der User nicht mehr Mitglied ist. Das Spielchen kann ich wiederholen.
Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen solche Mitgliedschaften nach einer Zeit wieder löscht?
Gruß,
Novile
Der Backup ist dann aber in der Nacht nicht gelaufen. Sehe ich dann nach, ob die Mitgliedschaft noch existiert, stelle ich fest, dass der User nicht mehr Mitglied ist. Das Spielchen kann ich wiederholen.
Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen solche Mitgliedschaften nach einer Zeit wieder löscht?
Gruß,
Novile
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97387
Url: https://administrator.de/contentid/97387
Printed on: April 25, 2024 at 19:04 o'clock
3 Comments
Latest comment
Servus,
der Schuldige ist der AdminSDHolder-Prozess.
Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.
Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das
Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und
2 Stunden (7200 Sekunden) liegen.
Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.
Der Prozess geht dabei folgendermaßen vor:
- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert
(der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf
der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen
Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert
Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:
- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren
Ab dem Service Pack 4 für Windows 2000 (oder mit
installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:
- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber
Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.
Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:
[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us
Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.
Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.
Diese Änderung muss manuell oder durch ein Skript (ein Beispielskript befindet sich im oben angegebenen Artikel) erledigt werden.
Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.
Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.
Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.
Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.
Diese Sicherheitsfunktion gibt es nicht erst seit dem SP2 für Windows Server 2003, sondern, bereits seit Windows 2000.
Viele Grüße
Yusuf Dikmenoglu
der Schuldige ist der AdminSDHolder-Prozess.
Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.
Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das
Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und
2 Stunden (7200 Sekunden) liegen.
Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.
Der Prozess geht dabei folgendermaßen vor:
- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert
(der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf
der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen
Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert
Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:
- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren
Ab dem Service Pack 4 für Windows 2000 (oder mit
installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:
- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber
Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.
Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:
[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us
Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.
Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.
Diese Änderung muss manuell oder durch ein Skript (ein Beispielskript befindet sich im oben angegebenen Artikel) erledigt werden.
Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.
Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.
Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.
Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.
Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen
solche Mitgliedschaften nach einer Zeit wieder löscht?
solche Mitgliedschaften nach einer Zeit wieder löscht?
Diese Sicherheitsfunktion gibt es nicht erst seit dem SP2 für Windows Server 2003, sondern, bereits seit Windows 2000.
Viele Grüße
Yusuf Dikmenoglu
Hallo Yusuf,
gut dass ich noch im Büro bin!
Ich bin total baff, dass es so einen Schutzmechanismus gibt
Vielen vielen Dank für Deine ausführliche Antwort. Ich werde sie mir noch heute Abend "reinziehen"!
Viele Grüße,
Novile
gut dass ich noch im Büro bin!
Ich bin total baff, dass es so einen Schutzmechanismus gibt
Vielen vielen Dank für Deine ausführliche Antwort. Ich werde sie mir noch heute Abend "reinziehen"!
Viele Grüße,
Novile
@yusuf
Ich wartete beim Lesen ständig auf den Satz - Fortsetzung des Kapitel 2 - 10 folgt nächste Woche
LG Günther
Ich wartete beim Lesen ständig auf den Satz - Fortsetzung des Kapitel 2 - 10 folgt nächste Woche
LG Günther
