13
Deaktivierte Computer haben weiterhin Zugriff
Hallo zusammen,
ich habe ein "kleines" Problem. Vorgestern habe ich etwa 150 Computerobjekte im AD deaktiviert, musste aber feststellen, dass die Nutzer trotz im AD deaktivierten Computern mehr oder weniger normal weiter arbeiten konnten. Zugriff auf Gruppenlaufwerke, Terminalserver, Mails usw. waren noch gegeben. Ich nahm an, das Deaktivieren der Computer würde dazu führen, dass der User von dem Gerät aus keinen Zugriff mehr auf die Domäne hätten, so als wäre das Benutzerobjekt deaktiviert.
Wie kann ich das verhindern?
ich habe ein "kleines" Problem. Vorgestern habe ich etwa 150 Computerobjekte im AD deaktiviert, musste aber feststellen, dass die Nutzer trotz im AD deaktivierten Computern mehr oder weniger normal weiter arbeiten konnten. Zugriff auf Gruppenlaufwerke, Terminalserver, Mails usw. waren noch gegeben. Ich nahm an, das Deaktivieren der Computer würde dazu führen, dass der User von dem Gerät aus keinen Zugriff mehr auf die Domäne hätten, so als wäre das Benutzerobjekt deaktiviert.
Wie kann ich das verhindern?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 544566
Url: https://administrator.de/contentid/544566
Printed on: May 5, 2024 at 23:05 o'clock
13 Comments
Latest comment
PW zurücksetzen?
Hi.
Es geht hierbei um Kerberostickets, die per Default eine Lebenszeit von 10 Stunden haben, also bis zu 10 Stunden nach Deaktivierung weiter gültig sind. Das gilt für Nutzer- und Computerobjekte.
Sag doch mal genauer, warum du plötzlich so einer großen Zahl von Computern/Usern den Zugriff wegnehmen möchtest.
Es geht hierbei um Kerberostickets, die per Default eine Lebenszeit von 10 Stunden haben, also bis zu 10 Stunden nach Deaktivierung weiter gültig sind. Das gilt für Nutzer- und Computerobjekte.
Sag doch mal genauer, warum du plötzlich so einer großen Zahl von Computern/Usern den Zugriff wegnehmen möchtest.
Dank schlampiger Dokumentation, welcher Rechner an wen ausgegeben wurde und quasi fehlendem Assetmanagement, konnten die Computer nicht klar zugeordnet werden bzw. ist teilweise auch nicht bekannt, ob die Rechner überhaupt noch bei uns vorhanden sind. Ja, ich weiß....
Nachdem nun also versucht wurde die Rechner ausfindig zu machen, wurde entschieden die Geräte zu deaktivieren. Die Annahme: Wenn sie noch im Einsatz und nicht "verschwunden" sind, würden sich die User ja melden, weil sie nicht arbeiten können und wir könnten die Lücken der Dokumentation füllen. Wenn Sie aber wirklich "weg" sind, so wären sie wenigstens nicht mehr in der Lage auf die Domäne zuzugreifen und ein potentielles Risiko darzustellen.
Nun zeigt sich aber, dass weder der eine, noch der andere Zweck mit dem Deaktivieren erfüllt wird.
Nachdem nun also versucht wurde die Rechner ausfindig zu machen, wurde entschieden die Geräte zu deaktivieren. Die Annahme: Wenn sie noch im Einsatz und nicht "verschwunden" sind, würden sich die User ja melden, weil sie nicht arbeiten können und wir könnten die Lücken der Dokumentation füllen. Wenn Sie aber wirklich "weg" sind, so wären sie wenigstens nicht mehr in der Lage auf die Domäne zuzugreifen und ein potentielles Risiko darzustellen.
Nun zeigt sich aber, dass weder der eine, noch der andere Zweck mit dem Deaktivieren erfüllt wird.
Moin,
ggf. einfach auch schlicht "jeder" Freigaben und sonstiges, ich lese daraus, dass das Netz wie sonstwas aussieht?
Da hilft nur eine komplette Tiefenanalyse, zzgl. natürlich die Kommentare der Kollegen beachten.
Viele Grüße,
Christian
certifiedit.net | IT-Partner
ggf. einfach auch schlicht "jeder" Freigaben und sonstiges, ich lese daraus, dass das Netz wie sonstwas aussieht?
Da hilft nur eine komplette Tiefenanalyse, zzgl. natürlich die Kommentare der Kollegen beachten.
Viele Grüße,
Christian
certifiedit.net | IT-Partner
Wirf mal einen Blick auf das Tool pingcastle
https://www.pingcastle.com/
Damit weißt Du in weniger als 2 Minuten, welche Nutzer/Computer lange nicht mehr im Einsatz waren.
https://www.pingcastle.com/
Damit weißt Du in weniger als 2 Minuten, welche Nutzer/Computer lange nicht mehr im Einsatz waren.
Moin,
leider verstehe ich die Frage nicht so ganz. Was hat das "Aussehen" des Netzes damit zu tun, ob deaktivierte Geräte Zugriff auf die Domänenressourcen haben?
leider verstehe ich die Frage nicht so ganz. Was hat das "Aussehen" des Netzes damit zu tun, ob deaktivierte Geräte Zugriff auf die Domänenressourcen haben?
Das herausfinden welcher User/Computer lang nicht im Einsatz war ist ja nicht das Problem, aber den Zugriff dieser Computer zu verhindern.
Kann man die Gültigkeitsdauer des Kerberos Tickets für eine OU (in der die deaktivierten Computerobjekte liegen) einschränken, sodass für Computer die in dieser OU liegen immer eine neue Authentifizierungsanfrage nötig ist, die entsprechend abgelehnt wird, eben weil der Computer nicht aktiv ist?
Kann man die Gültigkeitsdauer des Kerberos Tickets für eine OU (in der die deaktivierten Computerobjekte liegen) einschränken, sodass für Computer die in dieser OU liegen immer eine neue Authentifizierungsanfrage nötig ist, die entsprechend abgelehnt wird, eben weil der Computer nicht aktiv ist?
Also das liese sich ja recht einfach lösen. Am Computerobjekt steht wann sich das letzte mal da jemand dran angemeldet hat bzw auch wann sich der PC das letzte mal am AD gemeldet hat.
Alles älter als X Monate kann man ja deaktivieren/löschen.
Alle aktiven kann man per Powershell abfragen, wer sich da als letztes\die letzten X Tage angemeldet hat und den da erst mal zuordnen oder sich mit denen in Verbindung setzen und mal nachfragen wem das Ding gehört.
Zu deinem Problem: ich vermute jetzt mal, das die User Credentials noch auf dem Client gecached sind und der Rechner keine Verbindung zum AD hat. Ist dann wie bei Notebooks. Wenn das Notebook sich nicht beim AD melden kann, nimmt es die gecachten Credentials.
Prüfe mal die Netzwerkeinstellungen. Besonders den DNS
Alles älter als X Monate kann man ja deaktivieren/löschen.
Alle aktiven kann man per Powershell abfragen, wer sich da als letztes\die letzten X Tage angemeldet hat und den da erst mal zuordnen oder sich mit denen in Verbindung setzen und mal nachfragen wem das Ding gehört.
Zu deinem Problem: ich vermute jetzt mal, das die User Credentials noch auf dem Client gecached sind und der Rechner keine Verbindung zum AD hat. Ist dann wie bei Notebooks. Wenn das Notebook sich nicht beim AD melden kann, nimmt es die gecachten Credentials.
Prüfe mal die Netzwerkeinstellungen. Besonders den DNS
Wenn Du tatsächlich an dem fragwürdigen Konzept "wir schalten mal alle ab und schauen, wer schreit" festhalten willst (nicht böse gemeint), dann schalte die Dinger doch Abends ab, am nächsten morgen (10 Stunden braucht das Ticket, um abzulaufen), geht dann das Schreien los.
Wenn Du mit pingcastle rausgefunden hast, wer oder was lange nicht benutzt wurde, kannst Du diese doch gezielt abschalten.
Wenn Du mit pingcastle rausgefunden hast, wer oder was lange nicht benutzt wurde, kannst Du diese doch gezielt abschalten.
Diese ganze Aktion mit dem Hinterhertelefonieren wurde gemacht, sodass aus ursprünglich 700 undokumentierten Clients schon mal nur noch 150 blieben, die unauffindbar waren.
Diese hab ich dann halt deaktiviert.
Nunja, die Computer hatten eine physische Verbindung zu unserem Netzwerk, also auch zum DC. Dass das Deaktivieren keinen Einfluss auf Geräte hat, die nicht im Netzwerk und somit ohne Verbindung zum DC haben, ist mir klar.
Ich hatte die Notebooks gegen 15 Uhr deaktiviert. Am nächsten Tag gegen 9 fragte ein Kollege, ob ich denn eine Anwendung bei ihm deinstallieren könne. Ich ging hin und stellte fest, dass meine Credentials nicht akzeptiert wurden. Kurz nachgesehen - Der Rechner war deaktiviert. Der Kollege konnte aber, obwohl die 10 Stunden Gültigkeitsdauer seines Tickets rum waren und er per LAN im Netz war, ungestört weiter arbeiten. Ob nun über Outlook, Anwendungen im Citrix, Internetzugriff, Gruppenlaufwerke usw.
Und an dem Punkt bin ich rein logisch ausgestiegen^^
Diese hab ich dann halt deaktiviert.
Nunja, die Computer hatten eine physische Verbindung zu unserem Netzwerk, also auch zum DC. Dass das Deaktivieren keinen Einfluss auf Geräte hat, die nicht im Netzwerk und somit ohne Verbindung zum DC haben, ist mir klar.
Ich hatte die Notebooks gegen 15 Uhr deaktiviert. Am nächsten Tag gegen 9 fragte ein Kollege, ob ich denn eine Anwendung bei ihm deinstallieren könne. Ich ging hin und stellte fest, dass meine Credentials nicht akzeptiert wurden. Kurz nachgesehen - Der Rechner war deaktiviert. Der Kollege konnte aber, obwohl die 10 Stunden Gültigkeitsdauer seines Tickets rum waren und er per LAN im Netz war, ungestört weiter arbeiten. Ob nun über Outlook, Anwendungen im Citrix, Internetzugriff, Gruppenlaufwerke usw.
Und an dem Punkt bin ich rein logisch ausgestiegen^^
Ich finde die ganze Vorgehensweise auch eher schlecht, aber der Chef wollte es so. Leider hat 10 Stunden warten das Problem nicht gelöst.
Und abgesehen vom akuten Thema, sollte nunmal auch generell ein Rechner, der deaktiviert ist, nicht im Netz arbeiten dürfen.
Und abgesehen vom akuten Thema, sollte nunmal auch generell ein Rechner, der deaktiviert ist, nicht im Netz arbeiten dürfen.
Mach doch mal Tests. Die Ticketlifetime kannst Du per Policy ja auch auf eine Stunde stellen (temporär) und das nach Ticketausstellung wieder ändern.
Da sich Nutzer auch an nicht-Domänen-PCs authentifizieren können, sollte klar sein, dass ein bloßes Deaktivieren der PCs im AD nicht auf die User wirkt, die bereits angemeldet sind bzw. den PC in Kernelhibernation schicken (=normales Ausschalten!).
Ob die PCs (die Systemkonten) noch auf Domänenressourcen kommen, ist eine komplett andere Sache.
Da sich Nutzer auch an nicht-Domänen-PCs authentifizieren können, sollte klar sein, dass ein bloßes Deaktivieren der PCs im AD nicht auf die User wirkt, die bereits angemeldet sind bzw. den PC in Kernelhibernation schicken (=normales Ausschalten!).
Ob die PCs (die Systemkonten) noch auf Domänenressourcen kommen, ist eine komplett andere Sache.
Moin,
Ein anderer Andatz wäre doch sicherlich, per LogonScript „irgendwo“ eine Datei hinschreiben zu lassen, die die Uhrzeit, den Client und den User protokolliert.
Nach X Tagen sollte sich da ja was tun.
Die GPO per aktivem loopback nur auf die 150 Cleibts loslassen und gut.
Am Ende eine Auswertung per Powershell o. Ä., um herauszufinden, welche Clients fehlen...
Gruß
em-pie
Ein anderer Andatz wäre doch sicherlich, per LogonScript „irgendwo“ eine Datei hinschreiben zu lassen, die die Uhrzeit, den Client und den User protokolliert.
Nach X Tagen sollte sich da ja was tun.
Die GPO per aktivem loopback nur auf die 150 Cleibts loslassen und gut.
Am Ende eine Auswertung per Powershell o. Ä., um herauszufinden, welche Clients fehlen...
Gruß
em-pie
1