Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mitgliedschaft bei den Administratoren bliebt nicht erhalten.

Frage Microsoft Windows Server

Mitglied: novile

novile (Level 1) - Jetzt verbinden

19.09.2008, aktualisiert 21:15 Uhr, 5393 Aufrufe, 3 Kommentare

Hallo,

Nach dem Einrichten eines neuen Benutzers und hinzufügen zu der Gruppe der Administratoren ist zunächst alles ok. Der User kann Tasks planen und den Systemstate mit NTbackup backupen.

Der Backup ist dann aber in der Nacht nicht gelaufen. Sehe ich dann nach, ob die Mitgliedschaft noch existiert, stelle ich fest, dass der User nicht mehr Mitglied ist. Das Spielchen kann ich wiederholen.

Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen solche Mitgliedschaften nach einer Zeit wieder löscht?

Gruß,

Novile
Mitglied: Yusuf-Dikmenoglu
19.09.2008 um 18:27 Uhr
Servus,

der Schuldige ist der AdminSDHolder-Prozess.

Das Active Directory enthält einen Schutz - Mechanismus, dass Benutzerkonten und Gruppen die Mitglieder von
Dienstadministratorgruppen sind, speziell schützt. Der Domänencontroller, der die FSMO - Rolle des
PDC - Emulators innehat, überprüft alle 60 Minuten, dass die DACLs dieser Konten mit der Berechtigungsliste
eines speziellen AdminSDHolder - Objekts übereinstimmen.

Hinweis: Wenn im folgenden Registry - Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
der Schlüssel "AdminSDProtectFrequency" nicht gesetzt ist (der standardmäßig nicht existiert), dann lautet das
Überprüfungsintervall des PDC - Emulators 60 Minuten. Der Wert kann zwischen 1 Minute (60 Sekunden) und
2 Stunden (7200 Sekunden) liegen.

Dieser Prozess soll verhindern, dass die Sicherheitsberechtigung an administrativen Konten geändert
wird und somit zu viele Domänenadministratoren oder andere Anwender mit höheren Rechten, administrative Tätigkeiten
ausführen können.

Der Prozess geht dabei folgendermaßen vor:

- Es prüft, welche Benutzerkonten direkt oder verschachtelt in einer der geschützten Gruppen sind und setzt dessen
Attribute „adminCount“ auf den Wert von größer 0
- Alle Benutzerkonten, die einen Wert des Attributs „adminCount“ größer 0 haben, werden auf den Standardwert
(der den Rechten des Objekts AdminSDHolder entspricht) zurückgesetzt. Das bedeutet, dass die Rechte die man auf
der Registerkarte „Sicherheit“ des Benutzerkonto`s sieht, zurückgesetzt werden und auch für alle administrativen
Konten gilt.
- Der Standardwert basiert auf den Berechtigungen des Objektes CN=AdminSDHolder,CN=System,DC=<Domäne>,DC=<TLD>
und dient als Vorlage für alle administrativen Konten.
- Damit wird ebenfalls die Vererbung durch darüber liegende OUs deaktiviert


Folgende Gruppen (samt den direkten oder verschachtelten Mitgliedern sowie Gruppen) ab Windows 2000, einschließlich
Service Pack 3 werden durch den AdminSDHolder geschützt:

- Organisations-Administratoren
- Schema - Administratoren
- Domänen - Administratoren
- Administratoren


Ab dem Service Pack 4 für Windows 2000 (oder mit
installiertem Hotfix 327825 auch mit früherem SP) bzw.
Windows Server 2003 werden folgende Gruppen mitgeschützt:

- Server - Operatoren
- Sicherungs - Operatoren
- Konten - Operatoren
- Druck - Operatoren
- Zertifikatherausgeber

Zusätzlich werden die Benutzerkonten „Administrator“ und „KRBTGT“ ebenfalls vom AdminSDHolder Prozess geschützt
sowie Benutzerkonten die in Verteilergruppen (auch verschachtelt) ebenfalls Mitglied einer der geschützten Gruppen sind.

Die Operatoren - Konten (und nur diese) können von dem AdminSDHolder - Prozess ausgenommen werden. Dazu muss ein
Hotfix installiert werden, der aus diesem Artikel angefordert werden kann:

[Delegated permissions are not available and inheritance is automatically disabled]
http://support.microsoft.com/kb/817433/en-us

Dort ist auch erklärt, wie der Schutz für bestimmte Gruppen deaktiviert werden kann.

Erkennt der PDC - Emulator eine Abweichung in der Berechtigungsliste (ausgehend von der Berechtigungsliste
des AdminSDHolder), wird diese dahingehend geändert, um eine Übereinstimmung mit der Liste des
AdminSDHolder`s zu erzielen. Wenn Benutzerkonten aus den geschützten Konten entfernt werden, bekommen sie nicht
automatisch die Sicherheitseigenschaften angepasst, damit sie erneut die vererbten Berechtigungen akzeptieren.

Diese Änderung muss manuell oder durch ein Skript (ein Beispielskript befindet sich im oben angegebenen Artikel) erledigt werden.

Werden Änderungen in der Berechtigungsliste des AdminSDHolder - Objekts vorgenommen, werden diese für
alle Mitglieder der Dienstadministratorgruppe übernommen. Daher stellt eine Änderung des AdminSDHolder - Objekts ein
Sicherheitsrisiko dar und deshalb sollten diese (falls nötig), gut durchdacht worden sein.

Falls Änderungen am AdminSDHolder - Objekt getätigt werden, wird dieses im Ereignisprotokoll der Domänencontroller
aufgezeichnet, der in etwa wie folgt aussieht: Die Quelle lautet „Security“, als Kategorie wird „Verzeichnisdienstzugriff“
vermerkt, der Typ lautet „Erfolg“ und als „Ereignis - ID“ wird die „ID 565“ gespeichert. Dieses gilt es auf allen
Domänencontrollern zu kontrollieren.

Wenn eine nicht autorisierte Änderung am AdminSDHolder - Objekt vorgenommen wurde, kann diese aus dem Pfad CN=AdminSDHolder,
CN=System, DC=<Domäne>, DC=DE der Domänenverzeichnispartition, wiederhergestellt werden.

Falls es notwendig wäre, andere Rechte auf administrative Konten zu vergeben, kann man diese mit ADSIEdit aus den
Windows Support Tools (die sich auf der Windows Server 2003-CD im Ordner Support befindet) ändern.


Ist beim 2003er Server Standard SP2 eine Funktionalität eingebaut, die aus Sicherheitsgründen
solche Mitgliedschaften nach einer Zeit wieder löscht?

Diese Sicherheitsfunktion gibt es nicht erst seit dem SP2 für Windows Server 2003, sondern, bereits seit Windows 2000.


Viele Grüße
Yusuf Dikmenoglu
Bitte warten ..
Mitglied: novile
19.09.2008 um 18:30 Uhr
Hallo Yusuf,

gut dass ich noch im Büro bin!

Ich bin total baff, dass es so einen Schutzmechanismus gibt

Vielen vielen Dank für Deine ausführliche Antwort. Ich werde sie mir noch heute Abend "reinziehen"!

Viele Grüße,

Novile
Bitte warten ..
Mitglied: GuentherH
19.09.2008 um 21:15 Uhr
@Yusuf

Ich wartete beim Lesen ständig auf den Satz - Fortsetzung des Kapitel 2 - 10 folgt nächste Woche

LG Günther
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung!

(2)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows Server
gelöst Clients erhalten keine Updates obwohl WSUS "korrekt" konfiguriert (11)

Frage von takvorian zum Thema Windows Server ...

Server-Hardware
"Rack" erhalten, keinen blassen Schimmer was was ist. Von daher, HELP PLEASE (28)

Frage von pimpministrator zum Thema Server-Hardware ...

Batch & Shell
gelöst PSExec Remoteausführung zur Speicherung der lokalen Administratoren in .csv Datei (4)

Frage von Penetrator zum Thema Batch & Shell ...

Netzwerkprotokolle
gelöst Nmap: Mac-Adressen erhalten von Clients in einem Remote Network (1)

Frage von clubmate zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...