5
ActiveDirectory Credentials testen
Hallo zusammen,
ich stehe hier gerade ein wenig auf dem Schlauch und mich müsste mal jemand schubsen.
Vor einer gefühlten Ewigkeit habe ich bei einer 2012er Domain einen Servicebenutzer zu einer
Berechtigungsgruppe "LDAP" zugewiesen.
Diese Gruppe hat auf gewissen OUs mit Benutzern das Recht "Alle Eigenschaften lesen".
Das funktioniert seit jeher problemlos und wird von einem, nicht für mich zugänglichen System, genutzt um Benutzer auszulesen und Logindaten mit dem AD abzugleichen.
Nun habe ich selbige Einrichtung auf einer neuen 2019er Domain eingerichtet, aber der
Systembetreuer sagt mir er könne keine Verbindung mit dem AD herstellen.
Nun würde ich das natürlich gern selbst testen, da ich im Ereignisprotokoll der Domaincontroller keine
fehlgeschlagenen Logins sehe, weiß aber nicht wie ich das mit Windows Bordmitteln lösen kann?
Der verwendete Benutzer ist kein vollständiger Domänen-Benutzer (weil nicht nötig) ich müsste also eine
Abfrage im Namen des Benutzers ans AD schicken?
Tatsächlich noch nie gemacht...
Könnt ihr da helfen?
Grüße
ToWa
ich stehe hier gerade ein wenig auf dem Schlauch und mich müsste mal jemand schubsen.
Vor einer gefühlten Ewigkeit habe ich bei einer 2012er Domain einen Servicebenutzer zu einer
Berechtigungsgruppe "LDAP" zugewiesen.
Diese Gruppe hat auf gewissen OUs mit Benutzern das Recht "Alle Eigenschaften lesen".
Das funktioniert seit jeher problemlos und wird von einem, nicht für mich zugänglichen System, genutzt um Benutzer auszulesen und Logindaten mit dem AD abzugleichen.
Nun habe ich selbige Einrichtung auf einer neuen 2019er Domain eingerichtet, aber der
Systembetreuer sagt mir er könne keine Verbindung mit dem AD herstellen.
Nun würde ich das natürlich gern selbst testen, da ich im Ereignisprotokoll der Domaincontroller keine
fehlgeschlagenen Logins sehe, weiß aber nicht wie ich das mit Windows Bordmitteln lösen kann?
Der verwendete Benutzer ist kein vollständiger Domänen-Benutzer (weil nicht nötig) ich müsste also eine
Abfrage im Namen des Benutzers ans AD schicken?
Tatsächlich noch nie gemacht...
Könnt ihr da helfen?
Grüße
ToWa
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5210283303
Url: https://administrator.de/contentid/5210283303
Printed on: April 19, 2024 at 00:04 o'clock
5 Comments
Latest comment
Moin,
mit der ldp.exe auf dem DC sollte das gehen.
Gruß
mit der ldp.exe auf dem DC sollte das gehen.
Gruß
Ha! Dacht ich mir doch, dass das einfach ist.
Die LDP.exe hab ich am Managementserver, aber Verbindung - Binden habe ich noch nie genutzt.
Dort die Credentials eintragen und siehe da:
0x0 = ldap_unbind(ld);
ld = ldap_open("srv-dc02", 389);
Established connection to srv-dc02.
Retrieving base DSA information...
Getting 1 entries:
Dn: (RootDSE)
viel Text
0 = ldap_set_option(ld, LDAP_OPT_ENCRYPT, 1)
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, NEGOTIATE (1158)); // v.3
{NtAuthIdentity: User='system'; Pwd=<unavailable>; domain = 'intern.domain.de'}
Authenticated as: 'DOMAIN\system'.
-----------Würde also sagen, Credentials passen...
Kann ich darüber auch versuchen Accounts auszulesen?
Grüße
ToWa
1
Moin,
das was du suchst zum testen, ist ein LDAP Browser.
Gruß
Jasper
das was du suchst zum testen, ist ein LDAP Browser.
Gruß
Jasper
Hi
manche Tools benötigen spezielle Rechte, haben wir festgestellt, um im LDAP suchen zu können, nehm den Benutzer mal in die Gruppe "Builtin\Prä-Windows 2000 kompatibler Zugriff" auf und probiere es erneut ob es dann funktioniert,
Wir hatten mit einigen Linux Systemen Probleme, nachdem wir, aufgrund von Sicherheitsempfehlungen die BuiltIn Gruppen bereinigt haben.
Alternativ mit passenden Delegierungen Arbeiten (was MS wohl auch empfiehlt).
Hier mal ein paar Info zu dieser speziellen Gruppe und warum man "Authenticated Users" da rausnehmen sollte, ist wohl auch ein Altlast von M$, da wir die Gruppen nie selbst angepasst hatten vorher
https://www.semperis.com/blog/security-risks-pre-windows-2000-compatibil ...
manche Tools benötigen spezielle Rechte, haben wir festgestellt, um im LDAP suchen zu können, nehm den Benutzer mal in die Gruppe "Builtin\Prä-Windows 2000 kompatibler Zugriff" auf und probiere es erneut ob es dann funktioniert,
Wir hatten mit einigen Linux Systemen Probleme, nachdem wir, aufgrund von Sicherheitsempfehlungen die BuiltIn Gruppen bereinigt haben.
Alternativ mit passenden Delegierungen Arbeiten (was MS wohl auch empfiehlt).
Hier mal ein paar Info zu dieser speziellen Gruppe und warum man "Authenticated Users" da rausnehmen sollte, ist wohl auch ein Altlast von M$, da wir die Gruppen nie selbst angepasst hatten vorher
https://www.semperis.com/blog/security-risks-pre-windows-2000-compatibil ...
Salut,
das ist genau das Stichwort.
Nach kurzer Suche und kurzem Test habe ich mich für SOFTERRA LDAP BROWSER 4.5 entschieden.
Perfekt und ich habe nun eine Vermutung was der Softwarehersteller falsch macht,
denn die Connection klappt mit dem Benutzer über den Browser einwandfrei.
Vielen Dank.
