Aktive LDAP abfragen für Domänen-Benutzer verbieten bzw. steuern
Hi,
vielleicht ist es nur ein Verständnis Problem zu kurz vorm Wochenende ;)
hab mich noch nie sonderlich um LDAP gekümmert...
also ich "spiele" gerade mit LDAP rum und da ist mir aufgefallen das ich mich mit jedem x-beliebigen Dom-User ins AD einklinken kann und halt nahezu alles (Gruppen, User, Computer, DC etc) lesen kann.
Find ich nicht so prickelnd...
kann man / SOLLTE man das einschränken? durch eine sicherheitsgruppe oder so?
hab jetzt lediglich den softerra ldap Browser gestartet, und der Rest ging fast von alleine - das ist nicht im Sinne der Firma
gruß und danke für Input ;)
vielleicht ist es nur ein Verständnis Problem zu kurz vorm Wochenende ;)
hab mich noch nie sonderlich um LDAP gekümmert...
also ich "spiele" gerade mit LDAP rum und da ist mir aufgefallen das ich mich mit jedem x-beliebigen Dom-User ins AD einklinken kann und halt nahezu alles (Gruppen, User, Computer, DC etc) lesen kann.
Find ich nicht so prickelnd...
kann man / SOLLTE man das einschränken? durch eine sicherheitsgruppe oder so?
hab jetzt lediglich den softerra ldap Browser gestartet, und der Rest ging fast von alleine - das ist nicht im Sinne der Firma
gruß und danke für Input ;)
Antworten
- Mehr
Auf Facebook teilen
Auf Twitter teilen8 Antworten
- LÖSUNG Chonta schreibt am 11.12.2015 um 16:09:32 Uhr
- LÖSUNG neueradmuser schreibt am 11.12.2015 um 16:15:31 Uhr
- LÖSUNG Winary schreibt am 11.12.2015 um 16:19:15 Uhr
- LÖSUNG neueradmuser schreibt am 11.12.2015 um 16:26:13 Uhr
- LÖSUNG 122990 schreibt am 11.12.2015 um 17:05:56 Uhr
- LÖSUNG GuentherH schreibt am 11.12.2015 um 18:49:31 Uhr
- LÖSUNG neueradmuser schreibt am 16.12.2015 um 14:27:22 Uhr
- LÖSUNG Winary schreibt am 16.12.2015 um 15:52:14 Uhr
- LÖSUNG neueradmuser schreibt am 16.12.2015 um 14:27:22 Uhr
- LÖSUNG GuentherH schreibt am 11.12.2015 um 18:49:31 Uhr
LÖSUNG 11.12.2015 um 16:09 Uhr
Hallo,
was genau stört Dich denn daran?
Lesen kann nur ein autentifizierter Benutzer, ändern kann der aber nix.
Welche Befürchtung hast Du durch einen Lesezugriff auf das LDAP? Die Passwörter können dadurch nicht ausgelesen werden.
Wie Du schon geschrieben hast gibt es Bereiche die nicht jeder Benutzer lesen kann.
Wenn Du an den Leserechten schraubst kann es halt passieren das nix mehr geht und dann weist Du nicht warum
Gruß
Chonta
was genau stört Dich denn daran?
Lesen kann nur ein autentifizierter Benutzer, ändern kann der aber nix.
Welche Befürchtung hast Du durch einen Lesezugriff auf das LDAP? Die Passwörter können dadurch nicht ausgelesen werden.
Wie Du schon geschrieben hast gibt es Bereiche die nicht jeder Benutzer lesen kann.
Wenn Du an den Leserechten schraubst kann es halt passieren das nix mehr geht und dann weist Du nicht warum
Gruß
Chonta
LÖSUNG 11.12.2015 um 16:15 Uhr
naja, das man die ou's und dergleichen auslesen kann als normaler dom-User find ich nicht berauschend
das man nix ändern kann hab ich bereits gemerkt / getestet :D
an den ou'S hängen halt gewisse Aufteilungen etc. die so eigentlich keinen User was angehen
oder welche sicherheitsgruppen es gibt etc....
das man nix ändern kann hab ich bereits gemerkt / getestet :D
an den ou'S hängen halt gewisse Aufteilungen etc. die so eigentlich keinen User was angehen
oder welche sicherheitsgruppen es gibt etc....
LÖSUNG 11.12.2015 um 16:19 Uhr
Hallo,
LDAP ist aber dafür da, dass authentifizierte Benutzer darin zumindest lesen können. Darüber läuft auch die Funktion der Druckersuche im Verzeichnis. LDAP ist dafür da um Informationen zu beispielsweise AD-Benutzer bereitzustellen. Wer ist in welcher Abteilung, mit welcher Telefonnummer (Hausruf), mit welcher E-Mail-Adresse. Natürlich muss man als Admin nicht alles ausfüllen oder noch zusätzliche Felder ins Schema eintragen. Grundsätzlich soll es aber offen sein.
Ich kenne sogar eine große "Firma", die die Verzeichnissuche sogar standardmäßig auf jeden Desktop verteilt.
Falls es wen interessiert, wie man dieses Suchfenster öffnet:
Rechte Maustaste -> Neu -> Verknüpfung -> Ziel eintippen: rundll32 dsquery,OpenQueryWindow
LDAP ist aber dafür da, dass authentifizierte Benutzer darin zumindest lesen können. Darüber läuft auch die Funktion der Druckersuche im Verzeichnis. LDAP ist dafür da um Informationen zu beispielsweise AD-Benutzer bereitzustellen. Wer ist in welcher Abteilung, mit welcher Telefonnummer (Hausruf), mit welcher E-Mail-Adresse. Natürlich muss man als Admin nicht alles ausfüllen oder noch zusätzliche Felder ins Schema eintragen. Grundsätzlich soll es aber offen sein.
Ich kenne sogar eine große "Firma", die die Verzeichnissuche sogar standardmäßig auf jeden Desktop verteilt.
Falls es wen interessiert, wie man dieses Suchfenster öffnet:
Rechte Maustaste -> Neu -> Verknüpfung -> Ziel eintippen: rundll32 dsquery,OpenQueryWindow
LÖSUNG 11.12.2015 um 16:26 Uhr
na supi... genau das ist NICHT gewollt...
es wird alles vom Server aus mit GPO's und dergleichen verteilt und alles andere "unkenntlich" gemacht so gut es geht
was nützt einem dann z.b. im Exchange --> im Adressbuch ausblenden
wenn man es über LDAP doch wieder lesen könnte ?!?
es wird alles vom Server aus mit GPO's und dergleichen verteilt und alles andere "unkenntlich" gemacht so gut es geht
was nützt einem dann z.b. im Exchange --> im Adressbuch ausblenden
wenn man es über LDAP doch wieder lesen könnte ?!?
LÖSUNG 11.12.2015, aktualisiert um 17:17 Uhr
Hiding Data in Active Directory
Hiding Data in Active Directory 2
Hiding Data in Active Directory 3
Das übe aber erst mal ausgiebig in einer Testumgebung, damit kannst du nämlich ganz schnell das ganze AD aus dem Tritt bringen wenn man etwas falsch macht.
Gruß grexit
Hiding Data in Active Directory 2
Hiding Data in Active Directory 3
Das übe aber erst mal ausgiebig in einer Testumgebung, damit kannst du nämlich ganz schnell das ganze AD aus dem Tritt bringen wenn man etwas falsch macht.
Gruß grexit
LÖSUNG 11.12.2015 um 18:49 Uhr
an den ou'S hängen halt gewisse Aufteilungen etc. die so eigentlich keinen User was angehen
An der Tür hängt auch das Schild "Geschäftsführer". Das wird ja auch nicht abmonitiert, obwohl ein Mitarbeiter dieses Büro auch nicht unbefugt betreten darf.
LG Günther
LÖSUNG 16.12.2015 um 14:27 Uhr
nunja...
wenn es eine ou oder gruppe gibt wo dran steht "logonzeit auslesen" is das eher "suboptimal" :p
...is nur nen Beispiel...
Gruß
wenn es eine ou oder gruppe gibt wo dran steht "logonzeit auslesen" is das eher "suboptimal" :p
...is nur nen Beispiel...
Gruß
LÖSUNG 16.12.2015, aktualisiert um 16:05 Uhr
Dann nenn die Gruppe "fsdjflsdfmlsdvm" und dokumentiere sie in z.B. einer Excel-Tabelle mit "Logonzeit auslesen". So weißt nur du wofür die Gruppe ist. :P
Edit: Probier das mal
Erstelle in der Registry den Wert "QueryLimit" als REG_DWORD in folgendem Verzeichnis und setze den Wert auf 0:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Directory UI
Wenn du das per GPO verteilst sorgt es dafür, dass die Nutzer, wenn sie das Verzeichnis durchsuchen, immer 0 Ergebisse angezeigt bekommen.
Das hat nur zwei Nachteile:
1. Mit anderen LDAP-Browsern kann man trotzdem durchsuchen und alles sehen, wofür man berechtigt ist.
2. Sieht man z.B. keine Drucker mehr, welche man im Verzeichnis sucht.
Edit: Probier das mal
Erstelle in der Registry den Wert "QueryLimit" als REG_DWORD in folgendem Verzeichnis und setze den Wert auf 0:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Directory UI
Wenn du das per GPO verteilst sorgt es dafür, dass die Nutzer, wenn sie das Verzeichnis durchsuchen, immer 0 Ergebisse angezeigt bekommen.
Das hat nur zwei Nachteile:
1. Mit anderen LDAP-Browsern kann man trotzdem durchsuchen und alles sehen, wofür man berechtigt ist.
2. Sieht man z.B. keine Drucker mehr, welche man im Verzeichnis sucht.
