ActiveDirectory Credentials testen
Hallo zusammen,
ich stehe hier gerade ein wenig auf dem Schlauch und mich müsste mal jemand schubsen.
Vor einer gefühlten Ewigkeit habe ich bei einer 2012er Domain einen Servicebenutzer zu einer
Berechtigungsgruppe "LDAP" zugewiesen.
Diese Gruppe hat auf gewissen OUs mit Benutzern das Recht "Alle Eigenschaften lesen".
Das funktioniert seit jeher problemlos und wird von einem, nicht für mich zugänglichen System, genutzt um Benutzer auszulesen und Logindaten mit dem AD abzugleichen.
Nun habe ich selbige Einrichtung auf einer neuen 2019er Domain eingerichtet, aber der
Systembetreuer sagt mir er könne keine Verbindung mit dem AD herstellen.
Nun würde ich das natürlich gern selbst testen, da ich im Ereignisprotokoll der Domaincontroller keine
fehlgeschlagenen Logins sehe, weiß aber nicht wie ich das mit Windows Bordmitteln lösen kann?
Der verwendete Benutzer ist kein vollständiger Domänen-Benutzer (weil nicht nötig) ich müsste also eine
Abfrage im Namen des Benutzers ans AD schicken?
Tatsächlich noch nie gemacht...
Könnt ihr da helfen?
Grüße
ToWa
ich stehe hier gerade ein wenig auf dem Schlauch und mich müsste mal jemand schubsen.
Vor einer gefühlten Ewigkeit habe ich bei einer 2012er Domain einen Servicebenutzer zu einer
Berechtigungsgruppe "LDAP" zugewiesen.
Diese Gruppe hat auf gewissen OUs mit Benutzern das Recht "Alle Eigenschaften lesen".
Das funktioniert seit jeher problemlos und wird von einem, nicht für mich zugänglichen System, genutzt um Benutzer auszulesen und Logindaten mit dem AD abzugleichen.
Nun habe ich selbige Einrichtung auf einer neuen 2019er Domain eingerichtet, aber der
Systembetreuer sagt mir er könne keine Verbindung mit dem AD herstellen.
Nun würde ich das natürlich gern selbst testen, da ich im Ereignisprotokoll der Domaincontroller keine
fehlgeschlagenen Logins sehe, weiß aber nicht wie ich das mit Windows Bordmitteln lösen kann?
Der verwendete Benutzer ist kein vollständiger Domänen-Benutzer (weil nicht nötig) ich müsste also eine
Abfrage im Namen des Benutzers ans AD schicken?
Tatsächlich noch nie gemacht...
Könnt ihr da helfen?
Grüße
ToWa
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5210283303
Url: https://administrator.de/forum/activedirectory-credentials-testen-5210283303.html
Ausgedruckt am: 01.04.2025 um 04:04 Uhr
5 Kommentare
Neuester Kommentar
Hi
manche Tools benötigen spezielle Rechte, haben wir festgestellt, um im LDAP suchen zu können, nehm den Benutzer mal in die Gruppe "Builtin\Prä-Windows 2000 kompatibler Zugriff" auf und probiere es erneut ob es dann funktioniert,
Wir hatten mit einigen Linux Systemen Probleme, nachdem wir, aufgrund von Sicherheitsempfehlungen die BuiltIn Gruppen bereinigt haben.
Alternativ mit passenden Delegierungen Arbeiten (was MS wohl auch empfiehlt).
Hier mal ein paar Info zu dieser speziellen Gruppe und warum man "Authenticated Users" da rausnehmen sollte, ist wohl auch ein Altlast von M$, da wir die Gruppen nie selbst angepasst hatten vorher
https://www.semperis.com/blog/security-risks-pre-windows-2000-compatibil ...
manche Tools benötigen spezielle Rechte, haben wir festgestellt, um im LDAP suchen zu können, nehm den Benutzer mal in die Gruppe "Builtin\Prä-Windows 2000 kompatibler Zugriff" auf und probiere es erneut ob es dann funktioniert,
Wir hatten mit einigen Linux Systemen Probleme, nachdem wir, aufgrund von Sicherheitsempfehlungen die BuiltIn Gruppen bereinigt haben.
Alternativ mit passenden Delegierungen Arbeiten (was MS wohl auch empfiehlt).
Hier mal ein paar Info zu dieser speziellen Gruppe und warum man "Authenticated Users" da rausnehmen sollte, ist wohl auch ein Altlast von M$, da wir die Gruppen nie selbst angepasst hatten vorher
https://www.semperis.com/blog/security-risks-pre-windows-2000-compatibil ...