Aktive LDAP abfragen für Domänen-Benutzer verbieten bzw. steuern

Mitglied: neueradmuser

neueradmuser (Level 2) - Jetzt verbinden

11.12.2015 um 15:52 Uhr, 4890 Aufrufe, 8 Kommentare

Hi,
vielleicht ist es nur ein Verständnis Problem zu kurz vorm Wochenende ;)
hab mich noch nie sonderlich um LDAP gekümmert...

also ich "spiele" gerade mit LDAP rum und da ist mir aufgefallen das ich mich mit jedem x-beliebigen Dom-User ins AD einklinken kann und halt nahezu alles (Gruppen, User, Computer, DC etc) lesen kann.

Find ich nicht so prickelnd...

kann man / SOLLTE man das einschränken? durch eine sicherheitsgruppe oder so?
hab jetzt lediglich den softerra ldap Browser gestartet, und der Rest ging fast von alleine - das ist nicht im Sinne der Firma

gruß und danke für Input ;)
Mitglied: Chonta
11.12.2015 um 16:09 Uhr
Hallo,

was genau stört Dich denn daran?
Lesen kann nur ein autentifizierter Benutzer, ändern kann der aber nix.
Welche Befürchtung hast Du durch einen Lesezugriff auf das LDAP? Die Passwörter können dadurch nicht ausgelesen werden.

Wie Du schon geschrieben hast gibt es Bereiche die nicht jeder Benutzer lesen kann.

Wenn Du an den Leserechten schraubst kann es halt passieren das nix mehr geht und dann weist Du nicht warum :-) face-smile

Gruß

Chonta
Bitte warten ..
Mitglied: neueradmuser
11.12.2015 um 16:15 Uhr
naja, das man die ou's und dergleichen auslesen kann als normaler dom-User find ich nicht berauschend
das man nix ändern kann hab ich bereits gemerkt / getestet :D

an den ou'S hängen halt gewisse Aufteilungen etc. die so eigentlich keinen User was angehen
oder welche sicherheitsgruppen es gibt etc....
Bitte warten ..
Mitglied: Winary
11.12.2015 um 16:19 Uhr
Hallo,

LDAP ist aber dafür da, dass authentifizierte Benutzer darin zumindest lesen können. Darüber läuft auch die Funktion der Druckersuche im Verzeichnis. LDAP ist dafür da um Informationen zu beispielsweise AD-Benutzer bereitzustellen. Wer ist in welcher Abteilung, mit welcher Telefonnummer (Hausruf), mit welcher E-Mail-Adresse. Natürlich muss man als Admin nicht alles ausfüllen oder noch zusätzliche Felder ins Schema eintragen. Grundsätzlich soll es aber offen sein.
Ich kenne sogar eine große "Firma", die die Verzeichnissuche sogar standardmäßig auf jeden Desktop verteilt.

Falls es wen interessiert, wie man dieses Suchfenster öffnet:

Rechte Maustaste -> Neu -> Verknüpfung -> Ziel eintippen: rundll32 dsquery,OpenQueryWindow
Bitte warten ..
Mitglied: neueradmuser
11.12.2015 um 16:26 Uhr
na supi... genau das ist NICHT gewollt...
es wird alles vom Server aus mit GPO's und dergleichen verteilt und alles andere "unkenntlich" gemacht so gut es geht

was nützt einem dann z.b. im Exchange --> im Adressbuch ausblenden
wenn man es über LDAP doch wieder lesen könnte ?!?
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
11.12.2015, aktualisiert um 17:17 Uhr
Hiding Data in Active Directory
Hiding Data in Active Directory 2
Hiding Data in Active Directory 3
Das übe aber erst mal ausgiebig in einer Testumgebung, damit kannst du nämlich ganz schnell das ganze AD aus dem Tritt bringen wenn man etwas falsch macht.

Gruß grexit
Bitte warten ..
Mitglied: GuentherH
11.12.2015 um 18:49 Uhr
an den ou'S hängen halt gewisse Aufteilungen etc. die so eigentlich keinen User was angehen

An der Tür hängt auch das Schild "Geschäftsführer". Das wird ja auch nicht abmonitiert, obwohl ein Mitarbeiter dieses Büro auch nicht unbefugt betreten darf. ;-) face-wink

LG Günther
Bitte warten ..
Mitglied: neueradmuser
16.12.2015 um 14:27 Uhr
nunja...
wenn es eine ou oder gruppe gibt wo dran steht "logonzeit auslesen" is das eher "suboptimal" :p

...is nur nen Beispiel...

Gruß :) face-smile
Bitte warten ..
Mitglied: Winary
16.12.2015, aktualisiert um 16:05 Uhr
Dann nenn die Gruppe "fsdjflsdfmlsdvm" und dokumentiere sie in z.B. einer Excel-Tabelle mit "Logonzeit auslesen". So weißt nur du wofür die Gruppe ist. :P


Edit: Probier das mal

Erstelle in der Registry den Wert "QueryLimit" als REG_DWORD in folgendem Verzeichnis und setze den Wert auf 0:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Directory UI

Wenn du das per GPO verteilst sorgt es dafür, dass die Nutzer, wenn sie das Verzeichnis durchsuchen, immer 0 Ergebisse angezeigt bekommen.

Das hat nur zwei Nachteile:
1. Mit anderen LDAP-Browsern kann man trotzdem durchsuchen und alles sehen, wofür man berechtigt ist.
2. Sieht man z.B. keine Drucker mehr, welche man im Verzeichnis sucht.
Bitte warten ..
Heiß diskutierte Inhalte
Exchange Server
Sicherheits-Update KB5001779 für Exchange 2013-2019
kgbornVor 1 TagInformationExchange Server9 Kommentare

Microsoft hat zum 13. April 2021 das Sicherheitsupdate KB5001779 für Exchange 2013-2019 veröffentlicht, um vier RCE-Schwachstellen zu schließen. Das Update sollte zeitnah installiert werden. ...

Datenschutz
Regierung testet Einsatz von Microsoft Azure-Cloud für die Bundescloud
VisuciusVor 1 TagInformationDatenschutz34 Kommentare

LÄUFT! Deutschland will Microsoft für die Bundescloud testen Ich hätts ja beinahe unter dem Topic "Humor" veröffentlicht. Aber der 1. April ist ja durch ...

Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
1nCoreVor 22 StundenFrageFestplatten, SSD, Raid12 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Server
Server Anbieter mit 2 NICs gesucht
gelöst SilvergreenVor 1 TagFrageServer16 Kommentare

Hallo Community, ich bin auf der Suche nach einem Serveranbieter, der VPS/Cloud Server mit 2 Netzwerkkarten anbietet. Eine Internetsuche brache mich da leider nicht ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 22 StundenFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...