Rechte im ADSI Editor OU Domain Controllers - Domaincontroller (Windows Server 2019)

Hallo,

ich habe wegen eines anderen Fehlers in den ADSI Editor geschaut. Hier ist mir aufgefallen, dass die Gruppe Jeder in der OU Domain Controllers - Domaincontroller - Eigenschaften/ Sicherheit das Recht auf Kennwort ändern hat. Ist das normal oder hat da jemand etwas falsch eingestellt?
Gruß,
Chris

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 673955

Url: https://administrator.de/forum/adsi-editor-domaincontroller-sicherheit-rechte-673955.html

Ausgedruckt am: 22.07.2025 um 13:07 Uhr

8 Kommentare

Neuester Kommentar

Normal ist das nicht. Ich würde da die Gruppe entfernen.

Und weil es wohl angemerkt wird: dokumentiere vorher die gesetzten Berechtigung der Gruppe. Teste dann auch den DC. Also Replikation, Authentifizierung,... ob das sauber durchläuft.
Keine Ahnung, was da so alles konfiguriert ist.

Ich denke, das ist der Default und hat nicht die Auswirkung, die Du dir vorstellst. ChatGPT bestätigt das, nebenbei bemerkt.

Ist normal und ist für die Passwort-Replikation zwischen den DCs von nöten ....

Hier der Eintrag eines brandneuen DCs:

Hm....ChatGPT meint bei mir jetzt:

Quelle: KI

Nein, das ist unüblich und potentiell unsicher.
Die Gruppe "Jeder" sollte nicht pauschal Rechte in sicherheitskritischen OUs wie "Domain Controllers" haben – schon gar nicht das Recht, Kennwörter zu ändern.

Ich glaube auch nicht, dass die Berechtigung gewünscht ist. Denn das hieße ja, dass jeder die Kennwörter der Objekte innerhalb der OU Domain Controllers ändern kann. Oder aber ich verstehe die gesetzte Berechtigung auf eine OU nicht.

Zitat von @kpunkt:
Ich glaube auch nicht, dass die Berechtigung gewünscht ist. Denn das hieße ja, dass jeder die Kennwörter der Objekte innerhalb der OU Domain Controllers ändern kann.

Doch das ist Standard! Und nein damit kann nicht jeder Passwörter ändern, das Recht liegt nur auf dem DC-Objekt (nicht der OU) und ist nicht geerbt!! Der Eintrag ist nötig für die Replikation der Passwörter zwischen den DCs. In diesem Kontext bedeutet "Jeder" auch nicht "jeder" Account sondern nur authentifizierte Computer/System-Prozesse. DCs haben hier erweitere Sicherheitsmechanismen. Der Netlogon-Dienst nutzt diese Berechtigung für den Sync der Passwörter zwischen den DCs. Am Ende sind mit "Jeder" in diesem Kontext nur authentifizierte Systemprozesse und DCs und berechtigt. Der Eintrag ist zwingend nötig und darf nicht entfernt werden!

Deswegen sollte man der KI niemals uneingeschränkt Glauben schenken.

Normal ist das nicht. Ich würde da die Gruppe entfernen.

Dann hast du erst Recht Probleme, also bitte nicht!

Wenn Du das Selbe fragtest, bekämest Du die selbe Antwort.
Du hast jedoch nach den Rechten auf die OU domain controllers gefragt, darum geht es nicht. Die Rechte auf die DC-Objekte selbst, darum geht es.

Danke für die Antworten. Unsere Domain wurde lange vor meiner Zeit erstellt. Es wäre nicht das erste mal , dass etwas nicht gestimmt hat. Allerdings hätte mich das dann doch gewundert wenn jemand im ADSI Editor rumgespielt hat. Trotzdem interessant zu wissen.