shadovv
Goto Top

Vererbbare Berechtigungen des übergeordneten Objekts einschließen

Hallo Community,

da mir gerade schon so gut geholfen wurde noch eine letzte Frage:

Unter den erweiterten Sicherheitseinstellungen von Benutzer-Objekten im AD haben einige User den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" nicht gesetzt, wodurch neue Sicherheitseinstellungen nicht greifen. Gibt es eine Möglichkeit übergreifend alle User einer OU mit dem Merkmal (also einem Haken) zu versehen? Bei über 2000 Objekten würde ich ungerne in jedes einzelne gehen.

Grüße

Content-Key: 276273

Url: https://administrator.de/contentid/276273

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: emeriks
emeriks 02.07.2015 um 15:27:19 Uhr
Goto Top
Hi,
kann es sein, dass diese "einige User" allesamt Mitglieder der Domänen-Admins oder gar der BuiltIn\Administratoren sind? Falls ja, dann kannst Du da scripten was Du willst. AD wird bei diesen Benutzern die Vererbung immer wieder rausnehmen.

E.
Mitglied: Shadovv
Shadovv 02.07.2015 um 15:29:58 Uhr
Goto Top
Nein, leider nicht. Daran hatte ich auch schon gedacht. Es handelt sich hierbei jedoch nur um ganz normale User, die alle vor 2009 angelegt worden. - Möglicherweise ist damals was bei der Umstellung des DCs schief gelaufen - ich war damals zumindest noch nicht hier.
Mitglied: colinardo
Lösung colinardo 02.07.2015, aktualisiert am 06.07.2015 um 08:46:01 Uhr
Goto Top
Hallo Shadovv,
das könnte etwa so aussehen:
Get-AdUser -Filter * -SearchBase "OU=Marketing,dc=contoso,dc=de" | %{  
    $acl = get-acl "AD:$($_.distinguishedName)"  
    $inherited = $acl.Access | ?{$_.IsInherited}
    if (!$inherited){
        write-host "Aktiviere die Vererbung der Object-ACL des Users $($_.SamAccountName)"  
        $acl.SetAccessRuleProtection($false,$true)
        Set-Acl "AD:$($_.distinguishedName)" $acl  
    }
}
Im aktuellen Zustand werden alle User in der angegebenen OU verarbeitet inkl. Unter-OUs. Möchtest du das nicht musst du bei Get-ADUser den Parameter -SearchScope OneLevel zusätzlich angeben

Grüße Uwe
Mitglied: Shadovv
Shadovv 06.07.2015 um 08:46:28 Uhr
Goto Top
Super, vielen Dank. Hat eine Menge Arbeit erspart.
Mitglied: colinardo
colinardo 11.07.2015 aktualisiert um 19:07:55 Uhr
Goto Top
Tortzdem würde ich das was @emeriks schon angedeutet hat, auch beachten:
Stichwort AdminSDHolder: AD Berechtigungen : Der AdminSDHolder Mechanismus
Zitat:
Beim Umgang mit Active Directory Objektberechtigungen bemerken AD Administratoren des Öfteren einen seltsamen Effekt: Berechtigungen, die man auf Ebene einer bestimmten OU gesetzt hat, gelten auf einmal nicht mehr auf bestimmte Benutzer oder Gruppen, dies sich in der betreffenden OU befinden. Ein Helpdesk-Mitarbeiter oder User-Admin kann hier auf einmal nicht mehr das Passwort eines bestimmten Benutzers zurücksetzen, er kann keine Telefonnummer oder Mail-Adresse im Benutzerkonto ändern, oder er kann einer Gruppe keine neuen Mitglieder hinzufügen. Stets lautet die Fehlermeldung: Zugriff verweigert / Keine ausreichenden Berechtigungen.
Grüße Uwe