Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Problem mit Delegierung und Vererbung von Berechtigungen

Frage Microsoft Windows Server

Mitglied: Nietnagel

Nietnagel (Level 1) - Jetzt verbinden

28.07.2011 um 13:59 Uhr, 7017 Aufrufe, 7 Kommentare

Hallo Leute,

ich hoffe man kann das ganze überhaupt nachvollziehbar hier aufschreiben. Ich versuch´s mal.

Bearbeite zurzeit das Buch "Konfigurieren von Windows Server 2008 Active Directory 70-640".
Bin zurzeit am Ende des 2. Kapitels. In diesem Kapitel geht es, grob gesagt, um das Anlegen von Benutzern, Gruppen und Computern im Snap-In "Active-Directory-Benutzer und -Computer". Zudem erste Schritte mit Berechtigungen, Vererbung von Berechtigungen usw..

Wie gesagt, das Kapitel ist quasi abgeschlossen und ich mache hier nur noch die praktischen Übungen, die hier gefordert werden.

1. Übung: Melden Sie sich als Barbara Mayer an SERVER01 an. Sie ist ein Mitglied der Helpdeskgruppe. Überprüfen Sie, ob sie außer ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie anschließend, das Kennwort für ein Benutzerkonto in der OU "Administratoren" zu ändern. Überprüfen Sie die Ergebnisse.
Also ... Barbara Mayer gehört der Gruppe "Helpdesk" an. Die Gruppe Helpdesk hat auf die OU "Personal" die Berechtigung Kennwörter zurückzusetzen.
Wie erwartet fiel auch das Ergebnis aus. Barbara Mayer kann die Kennwörter einzelner Mitglieder der OU "Personal" zurücksetzen, die der OU "Administratoren" jedoch nicht.

Das klappt bis hierhin also so wie es soll.


Jetzt kommt die 2. Aufgabe:

2. Übung: Melden Sie sich als Administrator an SERVER01 an. Erstellen Sie in der OU "Personal" eine neue OU namens "Zweigniederlassung". Vergewissern Sie sich beim Erstellen der OU "Zweigniederlassung", dass die Option "Container vor zufälliger Löschung schützen" ausgewählt ist. Öffnen Sie die DACL des Benutzerobjekts im Dialogfeld "Erweiterte Sicherheitseinstellungen". Beachten Sie die dem Helpdeskteam zugewiesenen Berechtigungen. Sind sie explizit oder vererbt? Wenn die Berechtigungen vererbt wurden, woher wurden sie vererbt? Öffnen Sie die DACL der OU "Zweigniederlassung" im Dialogfeld "Erweiterte Sicherheiteinstellungen". Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen."

Melden Sie sich ab, und melden Sie sich als Barbara Mayer wieder an. Überprüfen Sie, ob sie ausser ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie nun, das Kennwort des Benutzers in der OU "Zweigniederlassung" zurückzusetzen.


Hierbei passiert folgendes: Die Berechtigungen wurden aus der übergeordneten OU "Personal" vererbt. So wie es sein soll.

Dann tu ich das was das Buch mir vorschreibt, nämlich "Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen"".

Daraufhin erscheint eine kurze Abfrage, die im Buch nicht erwähnt und nicht erklärt wird. Nämlich:

Wenn Sie diese Option wählen, werden die Berechtigungseinträge des übergeordneten Elements nicht mehr auf dieses Objekt angewendet.

- Klicken Sie auf "Kopieren" um Berechtigungseinträge, die vom übergeordneten Objekt für dieses Objekt übernommen wurden zu kopieren.

- Klicken Sie auf "Entfernen" um die Berechtigungseinträge, die vom übergeordneten Objekt übernommen wurden, zu entfernen und nur die hier definierten Berechtigungen zu behalten.


Ich verstehe es so: Klickt man auf Kopieren, erhält die Unter-OU sämtliche Berechtigungen der Haupt-OU und danach wird die Vererbung (für die Zukunft) abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.

Also habe ich auf "Entfernen" geklickt, denn man soll ja hier sehen, dass man in der OU "Personal" die Kennwörter zurücksetzen kann und in der Unter-OU, aufgrund der nicht vorhandenen Vererbung, eben nicht.


Zu meiner Überraschung war dann ab sofort auch kein Zurücksetzen des Kennworts in der OU "Personal" mehr möglich. Zugriff verweigert. Obwohl die OU "Personal" bei den erweiterten Sicherheitseinstellungen deutlich anzeigt, dass die Gruppe Helpdesk das darf.

Daraufhin habe ich die Vererbung wieder eingeschaltet. Nun kann ich die Kennwörter der Unter-OU auch wieder zurücksetzen, die der Haupt-OU jedoch immer noch nicht. Zugriff verweigert.
Hab das ganze 3 mal kontrolliert. Laut Berechtigugen darf die Gruppe Helpdesk das. Aber mir wird der Zugriff verweigert.
Und ich verstehe nicht warum. Ich hab das auch nirgendwo verweigert oder so. Das einzige was ich gemacht hab, war an der Vererbung rumzuspielen und danach ging es nicht mehr.
Sogar als ich die Berechtigung für die Haupt-OU gelöscht und neu herstellt habe, tat sich nix mehr.


Wo seh ich den Wald vor lauter Bäumen nicht? :confused:
Mitglied: Jochem
28.07.2011 um 14:39 Uhr
Moin,

Dein (Verständnis-)Problem liegt hier:

Ich verstehe es so: Klickt man auf Kopieren, erhält die Unter-OU sämtliche Berechtigungen der Haupt-OU und danach wird die Vererbung (für die Zukunft) abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.

Fangen wir mit dem "Entfernen" an:
Wenn Du "Entfernen" auswählst, werden alle von der übergeordneten OU vererbten Gruppen samt den dazugehörigen Rechten gelöscht. Achtung!: Wenn Da SYSTEM oder ADMINISTRATOREN auch zugehören, sind die Berechtigungen weg und Du hast Dich "ausgesperrt!! (wie Du ja herausgefunden hast)

Wenn Du "Kopieren" auswählst, bleiben die Gruppen der übergeordneten OU samt deren Berechtigungen erhalten und Du kannst danach gezielt bei den jeweiligen Gruppen die Berechtigungen entziehen oder setzen b zw. die Gruppen löschen oder neue Gruppen hinzufügen.

Also im Zweifelsfall imer erst über "Kopieren" die vorhandenen Gruppen "retten" und dann gezielt per "Entfernen" nur bestimmte Gruppen löschen.

Vermutlich mußt Du als Admin den Besitz von der Haupt-OU übernehmen, um dann die nachgeordneten Gruppen wieder berechtigen zu können.

Gruß J chem
Bitte warten ..
Mitglied: Nietnagel
28.07.2011 um 15:43 Uhr
Hallo Jochem,

danke für deine Erklärung.

Aber so ganz steig ich da noch nicht durch.

Zum Thema "Entfernen": Wo genau werden denn die Gruppen samt Rechte gelöscht? In der übergeordneten OU? Oder in der untergeordneten, wohin es vererbt werden soll?
Also in der OU "Personal" oder in der OU "Zweigniederlassung"?

Wenn es so ist wie du sagst, und durch das "Entfernen" wurden ganze Gruppen und deren Berechtigungen entfernt, müsste man das doch irgendwie prüfen können, oder nicht? Also bei beiden OUs finde ich weiterhin "SYSTEM" und "Administratoren" und "Helpdesk".
Bitte warten ..
Mitglied: Jochem
28.07.2011 um 16:43 Uhr
Moin,

die Berechtigungen/Gruppen werden immer da "bearbeiteet", wo Du Dich gerade aufhälst. Befindest Du Dich in der OU "Personal", werden die Berechtigungen/Gruppen für "Personal" geändert. Befindest Du Dich in der OU "Zweigniederlassung", welche eine Unter-OU von "Personal" ist, dann werden die Berechtigungen für diese OU geändert.

Also wenn Du in der OU, in der Du die Berechtigungen ändern willst, eine Gruppe anklickst, bekommst Du die Meldung, daß Du diese Gruppe nicht löschen kannst, da sie von der übergeordneten Instanz ihre Berechtigungen erhalten hat. Weiter kommst Du dann mit der Auswahl "Kopieren", "Entfernen" oder Abbrechen". Wählst Du "Entfernen" und bestätigst mit OK, sind alle durch die übergeordnete Instanz gesetzten Berechtigungen/Gruppen in dieser OU weg. Zudem fehlt dann in der OU der Reiter "Sicherheit".

Wählst Du "Kopieren" aus, so landest Du wieder in der Liste, die die berechtigten Gruppen für diese OU enthält. Hier kannst Du nun über "Entfernen" die jeweilige Gruppe aus der OU rauswerfen oder über den Button "Erweitert" die speziellen Berechtigungen dieser Gruppe bearbeiten.

Hast Du in der OU "Personal" die Haken bei "Vererbung für alle Ordner und Unterordner samt darin enthaltener Dateien" (oder so, Du weißt, was ich meine) gesetzt, erhält die OU "Zweigniederlassung" alle Berechtigungen, die auch in "Personal" vertreten sind. Ist die OU "Personal" nun kein Root-Ordner, sondern bezieht ihre Berechtigungen auch wieder von einer übergeordneten OU, so erhält "Zweigniederlassung" auch diese Berechtigungen, sofern in der OU "Personal" die Vererbung bestimmter Rechte nicht unterbunden wurde.

"Prüfen" kanst Du die Vererbung nur, indem Du auf die jeweiligen OUs gehst und Dir die Haken bei der Vererbung ansiehst. Sind sie gesetzt, dann erhalten die nachgeordneten OUs die Berechtigungen der übergeordneten OU, sind die Haken nicht gesetzt, geht es ab hier (ab dieser Ebene der OU) ohne Vererbung weiter.

Berechtigungen für einen User ziehen immer beim Anmelden und bleiben dann während der Sitzung erhalten. Wenn Du also einmal mit Berechtigungen für einen Ordner eingeloggt bist und jemand ändert den Zugrif f auf den Ordner für Dich, so daß Du nicht mehr zugreifen darfst, wird das erst nach dem Ab- und erneuten Anmelden gültig. Beim Admin sieht das alles wieder ganz anders aus, der darf ja quasi "per definitionem" alles.

Uns hat man bei der Schulung das Prinzip "Vererbung" so versucht näherzubringen: Stell Dir vor, Du spannst über der OU einen Schirm auf. In dem Augenblick trifft Dich alles, was "von oben" kommt nicht mehr. Schirm aufspannen = Vererbung abschalten.

Gruß J chem
Bitte warten ..
Mitglied: Nietnagel
28.07.2011 um 17:44 Uhr
Moin Jochem,

vielen Dank nochmal für die tolle Erklärung.

Ich denke ich habe das Prinzip verstanden.
Ich bin zwar ein Neuling in Sachen Active Directory, aber ich administriere seit Jahren einige Foren und da ist das mit den Berechtigungen ja ähnlich.

Also einfach gesagt kann ich für Überordner die Berechtigung XY einstellen und wenn ich die Vererbung anlasse, erhalten die jeweiligen Unterordner die selben Berechtigungen (sofern sie vererbbar sind), es sei denn ich unterbinde das mit diesem Haken bei "Vererbung für alle Ordner und bla".
Wenn ich das unterbreche, habe ich die Wahl zwischen "Entfernen" und "Kopieren".
Entferne ich, sind alle Berechtigungen, sind alle Berechtigungen der übergeordneten OUs weg und ich könnte das Pech haben, mich dadurch selbst auszusperren.
Wähle ich "kopieren" lande ich wieder in der Berechtigungsliste und kann dort Berechtigungen rauswerfen oder bearbeiten.

Ich denke das hab ich soweit verstanden!!! Danke vielmals!!!



Jedoch versteh ich trotzdem noch nicht warum mein Helpdesk-Mitarbeiter jetzt GAR KEINE Passwörter mehr zurücksetzen kann .


Also, ich habe eine Gruppe "Helpdesk". Mitglied dieser Gruppe ist der Benutzer "Barbara Mayer" (nachgeprüft).
Ich habe den Benutzer "Barbara Mayer". In den Eigenschaften ist ersichtlich, dass dieser Benutzer 2 Gruppen angehört: Domänen-Benutzer; Helpdesk.

In der OU (direkte Unter-OU der Domäne) "Personal" befinden sich mehrere Benutzer (auch Barbara Mayer).
Hier rechte Maustaste auf die OU -> Einstellungen -> Sicherheit -> Erweitert.

In der Liste steht klar und deutlich drin:
Zulassen | Helpdesk | Speziell | Nicht geerbt | Untergeordnete Benutzerobjekte (Klickt man auf "Bearbeiten" sieht man, dass "Kennwort zurücksetzen" zugelassen wird)
Zulassen | Helpdesk | | Nicht geerbt | Untergeordnete Benutzerobjekte (Klickt man auf "Bearbeiten" sieht man, dass "PwdLastSet zulassen" angehakt ist).

Die Gruppen "Administratoren" und "System" sind vorhanden. Der Besitzer ist "Administrator".


Genau das selbe bei der Unter-OU von Personal "Zweigniederlassung", nur dass dort unter Vererbung nicht "Nicht geerbt" steht, sondern "OU=Personal,DC=contoso,DC=com".

Bei beiden OUs ist ein Haken bei "Vererbbare Berechtigungen des übergeordneten Ordners einschließen" gesetzt.
Zur OU "Personal" gibt es keine übergeordnete OU.


Meiner bescheidenen Anfängermeinung alles genauso wie es sein soll, aber ich kann weder bei den Benutzern der OU "Personal", noch bei den Benutzern der OU "Zweigniederlassung" die Kennwörter zurücksetzen. Zugriff verweigert.

Auch wenn ich mich mit dem Helpdeskbenutzer abmelde und wieder anmelde.


Mensch, eigentlich ist das doch gar nicht so kompliziert.
Bitte warten ..
Mitglied: Nietnagel
29.07.2011 um 13:14 Uhr
Also langsam verzweifel ich.

Ich habe heute sämtliche OUs, Benutzer, Computer und Gruppen gelöscht um nochmal ganz von vorn anfangen zu können.

Dort hat dann alles wunderbar geklappt, genauso wie es sollte. Aber nur bis dahin wo ich gestern auch schon war.
Probleme gab es sofort wieder als ich die Vererbung für einen Unterordner ausgeschaltet habe.

Mit Vererbung konnte ich für die Haupt-OU "Personal" und die Personal-Unter-OU "Zweigstelle" die Kennwörter zurücksetzen.

Nun habe ich für die OU Zweigstelle die Vererbung übergeordneter Objekte ausgeschaltet. Nun kam ja wieder die Frage ob ich Kopieren oder Entfernen möchte. Diesmal habe ich auf Kopieren geklickt, worauf ich einen Hinweis bekam, dass jetzt 12 neue Berechtigungen kopiert werden und das sehr Speicherintensiv wäre. Ich habs weg geklickt und trotzdem ausgeführt.

In der DACL änderte sich erstmal nichts. Die Helpdesk-Gruppe (die ja die Kennwörter zurücksetzen soll) steht weiterhin drin und deshalb hab ich auch erwartet, dass sie die Passwörter der Benutzer in der Unter-OU weiter zurücksetzen können. Mein Verdacht hat sich bestätigt. Funktioniert.

Nun bin ich nochmal in die Unter-OU "Zweigstelle" rein und habe dort bei den erweiterten Berechtigungen einfach die 2 Helpdesk Einträge entfernt! Sonst nichts!! Ich schwöre!!!!


Jetzt hab ich mich wieder mit dem Helpdesk-Mitarbeiter eingeloggt und siehe da: Ich kann in der Unter-OU "Zweigstelle" tatsächlich keine Kennwörter zurücksetzen. Super!!!
Dummerweise funktinoiert das jetzt auch wieder nicht mehr bei der Ober-OU "Personal". Auch hier wird der Zugriff verweigert, obwohl ich an der OU NICHTS geändert habe. Die Helpdesk-Einträge stehen auch nachweislich noch in den Berechtigungen der OU drin.


Was mach ich denn bloß falsch?
Bitte warten ..
Mitglied: Jochem
01.08.2011 um 10:15 Uhr
Moin,

so, jetzt habe ich wieder ein wenig "Luft". Mir fällt zu Deinbem Problem nur noch ein, daß die OU "Zweigstelle" einmal nicht an der richtigen Position ins AD eingehängt wurde und somit eine fehlerhafte/falsche Konfiguration zu dem von Dir beschriebenen Verhalten führt. Kannst Du meine Vermutung ausschlißen?
Ansonsten sieht das alles ganz gut und sollte eigentlich so laufen.

Gruß J chem
Bitte warten ..
Mitglied: Nietnagel
01.08.2011 um 10:40 Uhr
Moin moin,

ja, eigenltich kann ich das ausschließen. Die OU "Zweigstelle" ist definitiv die Unter-OU von "Personal". Da kann man ja glaub ich nicht viel falsch machen.


Gibt es vielleicht die Möglichkeit, dass das ein Bug ist, der durch eine Aktualisierung behoben werden könnte. Das ist eine 2008 Server Eval-Version aus diesem Buch. Und das Buch ist bestimmt schon 2 Jahre alt und nach der Installation wurden keine Updates installiert, weil der Testrechner gar nicht am Internet hängt.
Das würde ich heute nochmal ausprobieren, ansonsten weiß ich auch nicht mehr weiter.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Exchange Server
gelöst Vererbung von Berechtigungen auf Unterordner in Outlook verhindern (6)

Frage von touro411 zum Thema Exchange Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
Google Chrome Web Store Problem auf Terminal Farm

Frage von dakoerry zum Thema Windows Server ...

Multimedia & Zubehör
gelöst Problem: DVI zu VGA (8)

Frage von Protected zum Thema Multimedia & Zubehör ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...