Problem mit Delegierung und Vererbung von Berechtigungen
Hallo Leute,
ich hoffe man kann das ganze überhaupt nachvollziehbar hier aufschreiben. Ich versuch´s mal.
Bearbeite zurzeit das Buch "Konfigurieren von Windows Server 2008 Active Directory 70-640".
Bin zurzeit am Ende des 2. Kapitels. In diesem Kapitel geht es, grob gesagt, um das Anlegen von Benutzern, Gruppen und Computern im Snap-In "Active-Directory-Benutzer und -Computer". Zudem erste Schritte mit Berechtigungen, Vererbung von Berechtigungen usw..
Wie gesagt, das Kapitel ist quasi abgeschlossen und ich mache hier nur noch die praktischen Übungen, die hier gefordert werden.
1. Übung: Melden Sie sich als Barbara Mayer an SERVER01 an. Sie ist ein Mitglied der Helpdeskgruppe. Überprüfen Sie, ob sie außer ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie anschließend, das Kennwort für ein Benutzerkonto in der OU "Administratoren" zu ändern. Überprüfen Sie die Ergebnisse.
Also ... Barbara Mayer gehört der Gruppe "Helpdesk" an. Die Gruppe Helpdesk hat auf die OU "Personal" die Berechtigung Kennwörter zurückzusetzen.
Wie erwartet fiel auch das Ergebnis aus. Barbara Mayer kann die Kennwörter einzelner Mitglieder der OU "Personal" zurücksetzen, die der OU "Administratoren" jedoch nicht.
Das klappt bis hierhin also so wie es soll.
Jetzt kommt die 2. Aufgabe:
2. Übung: Melden Sie sich als Administrator an SERVER01 an. Erstellen Sie in der OU "Personal" eine neue OU namens "Zweigniederlassung". Vergewissern Sie sich beim Erstellen der OU "Zweigniederlassung", dass die Option "Container vor zufälliger Löschung schützen" ausgewählt ist. Öffnen Sie die DACL des Benutzerobjekts im Dialogfeld "Erweiterte Sicherheitseinstellungen". Beachten Sie die dem Helpdeskteam zugewiesenen Berechtigungen. Sind sie explizit oder vererbt? Wenn die Berechtigungen vererbt wurden, woher wurden sie vererbt? Öffnen Sie die DACL der OU "Zweigniederlassung" im Dialogfeld "Erweiterte Sicherheiteinstellungen". Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen."
Melden Sie sich ab, und melden Sie sich als Barbara Mayer wieder an. Überprüfen Sie, ob sie ausser ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie nun, das Kennwort des Benutzers in der OU "Zweigniederlassung" zurückzusetzen.
Hierbei passiert folgendes: Die Berechtigungen wurden aus der übergeordneten OU "Personal" vererbt. So wie es sein soll.
Dann tu ich das was das Buch mir vorschreibt, nämlich "Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen"".
Daraufhin erscheint eine kurze Abfrage, die im Buch nicht erwähnt und nicht erklärt wird. Nämlich:
Wenn Sie diese Option wählen, werden die Berechtigungseinträge des übergeordneten Elements nicht mehr auf dieses Objekt angewendet.
- Klicken Sie auf "Kopieren" um Berechtigungseinträge, die vom übergeordneten Objekt für dieses Objekt übernommen wurden zu kopieren.
- Klicken Sie auf "Entfernen" um die Berechtigungseinträge, die vom übergeordneten Objekt übernommen wurden, zu entfernen und nur die hier definierten Berechtigungen zu behalten.
Ich verstehe es so: Klickt man auf Kopieren, erhält die Unter-OU sämtliche Berechtigungen der Haupt-OU und danach wird die Vererbung (für die Zukunft) abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.
Also habe ich auf "Entfernen" geklickt, denn man soll ja hier sehen, dass man in der OU "Personal" die Kennwörter zurücksetzen kann und in der Unter-OU, aufgrund der nicht vorhandenen Vererbung, eben nicht.
Zu meiner Überraschung war dann ab sofort auch kein Zurücksetzen des Kennworts in der OU "Personal" mehr möglich. Zugriff verweigert. Obwohl die OU "Personal" bei den erweiterten Sicherheitseinstellungen deutlich anzeigt, dass die Gruppe Helpdesk das darf.
Daraufhin habe ich die Vererbung wieder eingeschaltet. Nun kann ich die Kennwörter der Unter-OU auch wieder zurücksetzen, die der Haupt-OU jedoch immer noch nicht. Zugriff verweigert.
Hab das ganze 3 mal kontrolliert. Laut Berechtigugen darf die Gruppe Helpdesk das. Aber mir wird der Zugriff verweigert.
Und ich verstehe nicht warum. Ich hab das auch nirgendwo verweigert oder so. Das einzige was ich gemacht hab, war an der Vererbung rumzuspielen und danach ging es nicht mehr.
Sogar als ich die Berechtigung für die Haupt-OU gelöscht und neu herstellt habe, tat sich nix mehr.
Wo seh ich den Wald vor lauter Bäumen nicht? :confused:
Bin zurzeit am Ende des 2. Kapitels. In diesem Kapitel geht es, grob gesagt, um das Anlegen von Benutzern, Gruppen und Computern im Snap-In "Active-Directory-Benutzer und -Computer". Zudem erste Schritte mit Berechtigungen, Vererbung von Berechtigungen usw..
Wie gesagt, das Kapitel ist quasi abgeschlossen und ich mache hier nur noch die praktischen Übungen, die hier gefordert werden.
1. Übung: Melden Sie sich als Barbara Mayer an SERVER01 an. Sie ist ein Mitglied der Helpdeskgruppe. Überprüfen Sie, ob sie außer ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie anschließend, das Kennwort für ein Benutzerkonto in der OU "Administratoren" zu ändern. Überprüfen Sie die Ergebnisse.
Also ... Barbara Mayer gehört der Gruppe "Helpdesk" an. Die Gruppe Helpdesk hat auf die OU "Personal" die Berechtigung Kennwörter zurückzusetzen.
Wie erwartet fiel auch das Ergebnis aus. Barbara Mayer kann die Kennwörter einzelner Mitglieder der OU "Personal" zurücksetzen, die der OU "Administratoren" jedoch nicht.
Das klappt bis hierhin also so wie es soll.
Jetzt kommt die 2. Aufgabe:
2. Übung: Melden Sie sich als Administrator an SERVER01 an. Erstellen Sie in der OU "Personal" eine neue OU namens "Zweigniederlassung". Vergewissern Sie sich beim Erstellen der OU "Zweigniederlassung", dass die Option "Container vor zufälliger Löschung schützen" ausgewählt ist. Öffnen Sie die DACL des Benutzerobjekts im Dialogfeld "Erweiterte Sicherheitseinstellungen". Beachten Sie die dem Helpdeskteam zugewiesenen Berechtigungen. Sind sie explizit oder vererbt? Wenn die Berechtigungen vererbt wurden, woher wurden sie vererbt? Öffnen Sie die DACL der OU "Zweigniederlassung" im Dialogfeld "Erweiterte Sicherheiteinstellungen". Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen."
Melden Sie sich ab, und melden Sie sich als Barbara Mayer wieder an. Überprüfen Sie, ob sie ausser ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie nun, das Kennwort des Benutzers in der OU "Zweigniederlassung" zurückzusetzen.
Hierbei passiert folgendes: Die Berechtigungen wurden aus der übergeordneten OU "Personal" vererbt. So wie es sein soll.
Dann tu ich das was das Buch mir vorschreibt, nämlich "Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen"".
Daraufhin erscheint eine kurze Abfrage, die im Buch nicht erwähnt und nicht erklärt wird. Nämlich:
Wenn Sie diese Option wählen, werden die Berechtigungseinträge des übergeordneten Elements nicht mehr auf dieses Objekt angewendet.
- Klicken Sie auf "Kopieren" um Berechtigungseinträge, die vom übergeordneten Objekt für dieses Objekt übernommen wurden zu kopieren.
- Klicken Sie auf "Entfernen" um die Berechtigungseinträge, die vom übergeordneten Objekt übernommen wurden, zu entfernen und nur die hier definierten Berechtigungen zu behalten.
Ich verstehe es so: Klickt man auf Kopieren, erhält die Unter-OU sämtliche Berechtigungen der Haupt-OU und danach wird die Vererbung (für die Zukunft) abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.
Also habe ich auf "Entfernen" geklickt, denn man soll ja hier sehen, dass man in der OU "Personal" die Kennwörter zurücksetzen kann und in der Unter-OU, aufgrund der nicht vorhandenen Vererbung, eben nicht.
Zu meiner Überraschung war dann ab sofort auch kein Zurücksetzen des Kennworts in der OU "Personal" mehr möglich. Zugriff verweigert. Obwohl die OU "Personal" bei den erweiterten Sicherheitseinstellungen deutlich anzeigt, dass die Gruppe Helpdesk das darf.
Daraufhin habe ich die Vererbung wieder eingeschaltet. Nun kann ich die Kennwörter der Unter-OU auch wieder zurücksetzen, die der Haupt-OU jedoch immer noch nicht. Zugriff verweigert.
Hab das ganze 3 mal kontrolliert. Laut Berechtigugen darf die Gruppe Helpdesk das. Aber mir wird der Zugriff verweigert.
Und ich verstehe nicht warum. Ich hab das auch nirgendwo verweigert oder so. Das einzige was ich gemacht hab, war an der Vererbung rumzuspielen und danach ging es nicht mehr.
Sogar als ich die Berechtigung für die Haupt-OU gelöscht und neu herstellt habe, tat sich nix mehr.
Wo seh ich den Wald vor lauter Bäumen nicht? :confused:
Please also mark the comments that contributed to the solution of the article
Content-Key: 170573
Url: https://administrator.de/contentid/170573
Printed on: April 18, 2024 at 06:04 o'clock
7 Comments
Latest comment
Moin,
Dein (Verständnis-)Problem liegt hier:
Fangen wir mit dem "Entfernen" an:
Wenn Du "Entfernen" auswählst, werden alle von der übergeordneten OU vererbten Gruppen samt den dazugehörigen Rechten gelöscht. Achtung!: Wenn Da SYSTEM oder ADMINISTRATOREN auch zugehören, sind die Berechtigungen weg und Du hast Dich "ausgesperrt!! (wie Du ja herausgefunden hast)
Wenn Du "Kopieren" auswählst, bleiben die Gruppen der übergeordneten OU samt deren Berechtigungen erhalten und Du kannst danach gezielt bei den jeweiligen Gruppen die Berechtigungen entziehen oder setzen b zw. die Gruppen löschen oder neue Gruppen hinzufügen.
Also im Zweifelsfall imer erst über "Kopieren" die vorhandenen Gruppen "retten" und dann gezielt per "Entfernen" nur bestimmte Gruppen löschen.
Vermutlich mußt Du als Admin den Besitz von der Haupt-OU übernehmen, um dann die nachgeordneten Gruppen wieder berechtigen zu können.
Gruß J chem
Dein (Verständnis-)Problem liegt hier:
Ich verstehe es so: Klickt man auf Kopieren, erhält die Unter-OU sämtliche Berechtigungen der Haupt-OU und danach wird die Vererbung (für die Zukunft) abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.
Klickt man auf Entfernen, dann werden die Berechtigungen, die bereits vererbt wurden, wieder rückgängig gemacht und die Vererbung abgeschaltet.
Fangen wir mit dem "Entfernen" an:
Wenn Du "Entfernen" auswählst, werden alle von der übergeordneten OU vererbten Gruppen samt den dazugehörigen Rechten gelöscht. Achtung!: Wenn Da SYSTEM oder ADMINISTRATOREN auch zugehören, sind die Berechtigungen weg und Du hast Dich "ausgesperrt!! (wie Du ja herausgefunden hast)
Wenn Du "Kopieren" auswählst, bleiben die Gruppen der übergeordneten OU samt deren Berechtigungen erhalten und Du kannst danach gezielt bei den jeweiligen Gruppen die Berechtigungen entziehen oder setzen b zw. die Gruppen löschen oder neue Gruppen hinzufügen.
Also im Zweifelsfall imer erst über "Kopieren" die vorhandenen Gruppen "retten" und dann gezielt per "Entfernen" nur bestimmte Gruppen löschen.
Vermutlich mußt Du als Admin den Besitz von der Haupt-OU übernehmen, um dann die nachgeordneten Gruppen wieder berechtigen zu können.
Gruß J chem
Moin,
die Berechtigungen/Gruppen werden immer da "bearbeiteet", wo Du Dich gerade aufhälst. Befindest Du Dich in der OU "Personal", werden die Berechtigungen/Gruppen für "Personal" geändert. Befindest Du Dich in der OU "Zweigniederlassung", welche eine Unter-OU von "Personal" ist, dann werden die Berechtigungen für diese OU geändert.
Also wenn Du in der OU, in der Du die Berechtigungen ändern willst, eine Gruppe anklickst, bekommst Du die Meldung, daß Du diese Gruppe nicht löschen kannst, da sie von der übergeordneten Instanz ihre Berechtigungen erhalten hat. Weiter kommst Du dann mit der Auswahl "Kopieren", "Entfernen" oder Abbrechen". Wählst Du "Entfernen" und bestätigst mit OK, sind alle durch die übergeordnete Instanz gesetzten Berechtigungen/Gruppen in dieser OU weg. Zudem fehlt dann in der OU der Reiter "Sicherheit".
Wählst Du "Kopieren" aus, so landest Du wieder in der Liste, die die berechtigten Gruppen für diese OU enthält. Hier kannst Du nun über "Entfernen" die jeweilige Gruppe aus der OU rauswerfen oder über den Button "Erweitert" die speziellen Berechtigungen dieser Gruppe bearbeiten.
Hast Du in der OU "Personal" die Haken bei "Vererbung für alle Ordner und Unterordner samt darin enthaltener Dateien" (oder so, Du weißt, was ich meine) gesetzt, erhält die OU "Zweigniederlassung" alle Berechtigungen, die auch in "Personal" vertreten sind. Ist die OU "Personal" nun kein Root-Ordner, sondern bezieht ihre Berechtigungen auch wieder von einer übergeordneten OU, so erhält "Zweigniederlassung" auch diese Berechtigungen, sofern in der OU "Personal" die Vererbung bestimmter Rechte nicht unterbunden wurde.
"Prüfen" kanst Du die Vererbung nur, indem Du auf die jeweiligen OUs gehst und Dir die Haken bei der Vererbung ansiehst. Sind sie gesetzt, dann erhalten die nachgeordneten OUs die Berechtigungen der übergeordneten OU, sind die Haken nicht gesetzt, geht es ab hier (ab dieser Ebene der OU) ohne Vererbung weiter.
Berechtigungen für einen User ziehen immer beim Anmelden und bleiben dann während der Sitzung erhalten. Wenn Du also einmal mit Berechtigungen für einen Ordner eingeloggt bist und jemand ändert den Zugrif f auf den Ordner für Dich, so daß Du nicht mehr zugreifen darfst, wird das erst nach dem Ab- und erneuten Anmelden gültig. Beim Admin sieht das alles wieder ganz anders aus, der darf ja quasi "per definitionem" alles.
Uns hat man bei der Schulung das Prinzip "Vererbung" so versucht näherzubringen: Stell Dir vor, Du spannst über der OU einen Schirm auf. In dem Augenblick trifft Dich alles, was "von oben" kommt nicht mehr. Schirm aufspannen = Vererbung abschalten.
Gruß J chem
die Berechtigungen/Gruppen werden immer da "bearbeiteet", wo Du Dich gerade aufhälst. Befindest Du Dich in der OU "Personal", werden die Berechtigungen/Gruppen für "Personal" geändert. Befindest Du Dich in der OU "Zweigniederlassung", welche eine Unter-OU von "Personal" ist, dann werden die Berechtigungen für diese OU geändert.
Also wenn Du in der OU, in der Du die Berechtigungen ändern willst, eine Gruppe anklickst, bekommst Du die Meldung, daß Du diese Gruppe nicht löschen kannst, da sie von der übergeordneten Instanz ihre Berechtigungen erhalten hat. Weiter kommst Du dann mit der Auswahl "Kopieren", "Entfernen" oder Abbrechen". Wählst Du "Entfernen" und bestätigst mit OK, sind alle durch die übergeordnete Instanz gesetzten Berechtigungen/Gruppen in dieser OU weg. Zudem fehlt dann in der OU der Reiter "Sicherheit".
Wählst Du "Kopieren" aus, so landest Du wieder in der Liste, die die berechtigten Gruppen für diese OU enthält. Hier kannst Du nun über "Entfernen" die jeweilige Gruppe aus der OU rauswerfen oder über den Button "Erweitert" die speziellen Berechtigungen dieser Gruppe bearbeiten.
Hast Du in der OU "Personal" die Haken bei "Vererbung für alle Ordner und Unterordner samt darin enthaltener Dateien" (oder so, Du weißt, was ich meine) gesetzt, erhält die OU "Zweigniederlassung" alle Berechtigungen, die auch in "Personal" vertreten sind. Ist die OU "Personal" nun kein Root-Ordner, sondern bezieht ihre Berechtigungen auch wieder von einer übergeordneten OU, so erhält "Zweigniederlassung" auch diese Berechtigungen, sofern in der OU "Personal" die Vererbung bestimmter Rechte nicht unterbunden wurde.
"Prüfen" kanst Du die Vererbung nur, indem Du auf die jeweiligen OUs gehst und Dir die Haken bei der Vererbung ansiehst. Sind sie gesetzt, dann erhalten die nachgeordneten OUs die Berechtigungen der übergeordneten OU, sind die Haken nicht gesetzt, geht es ab hier (ab dieser Ebene der OU) ohne Vererbung weiter.
Berechtigungen für einen User ziehen immer beim Anmelden und bleiben dann während der Sitzung erhalten. Wenn Du also einmal mit Berechtigungen für einen Ordner eingeloggt bist und jemand ändert den Zugrif f auf den Ordner für Dich, so daß Du nicht mehr zugreifen darfst, wird das erst nach dem Ab- und erneuten Anmelden gültig. Beim Admin sieht das alles wieder ganz anders aus, der darf ja quasi "per definitionem" alles.
Uns hat man bei der Schulung das Prinzip "Vererbung" so versucht näherzubringen: Stell Dir vor, Du spannst über der OU einen Schirm auf. In dem Augenblick trifft Dich alles, was "von oben" kommt nicht mehr. Schirm aufspannen = Vererbung abschalten.
Gruß J chem
Moin,
so, jetzt habe ich wieder ein wenig "Luft". Mir fällt zu Deinbem Problem nur noch ein, daß die OU "Zweigstelle" einmal nicht an der richtigen Position ins AD eingehängt wurde und somit eine fehlerhafte/falsche Konfiguration zu dem von Dir beschriebenen Verhalten führt. Kannst Du meine Vermutung ausschlißen?
Ansonsten sieht das alles ganz gut und sollte eigentlich so laufen.
Gruß J chem
so, jetzt habe ich wieder ein wenig "Luft". Mir fällt zu Deinbem Problem nur noch ein, daß die OU "Zweigstelle" einmal nicht an der richtigen Position ins AD eingehängt wurde und somit eine fehlerhafte/falsche Konfiguration zu dem von Dir beschriebenen Verhalten führt. Kannst Du meine Vermutung ausschlißen?
Ansonsten sieht das alles ganz gut und sollte eigentlich so laufen.
Gruß J chem