Domainenübergreifender Benutzer

Mitglied: makaroni

makaroni (Level 1) - Jetzt verbinden

15.10.2015, aktualisiert 20.10.2015, 1819 Aufrufe, 21 Kommentare

Hallo zusammen,

Ich habe eine Domain mit mehreren Subdomains

test.de
a.test.de
b.test.de
c.test.de

Nun befindet sich Benutzer Hans in der Domain test.de. Dieser besitzt nur die Berechtigungen "Domain User".

Mit diesem Benutzer sollen Benutzer einer Gruppe rekursive ausgelesen werden. In dieser Gruppe befinden sich allerdings auch Benutzer der anderen Subdomains. Sprich ich kann mit Hans, diese Nutzer nicht auslesen (zumindest nicht über Powershell)

Nun benötige ich ein Konzept, in dem Hans z.B. einer Universellen oder localen Gruppe hinzugefügt wird und diese Gruppe zu den Domain Usern in jeder Subdomain hinzugefügt wird.

Allerdings können Globale Gruppen (wie z.B. die Domain User) keine lokalen oder universellen Gruppen aufnehmen.
Auch mit dem AGDLP Konzept komme ich irgendwie nicht ans Ziel da ich immer wieder bei der Aufnahme der Gruppen in die globale Gruppe scheitere.

Wie kann ich meinen Wunsch umsetzen, ohne in jeder Subdomain den gleichen Nutzer anlegen zu lassen?

Vielen Dank
Mitglied: 122990
122990 (Level 2)
15.10.2015, aktualisiert um 15:43 Uhr
Moin,
das Skript bzw Befehl im Benutzerkontext eines privilegierten Nutzers ausführen welcher Domainübergreifend über entsprechende Enumeration-Rechte im AD verfügt, z.b die Enterprise-Admins.
Zur Info, einzelnen Befehlen lassen sich Credentials mitgeben ...

Gruß grexit
Bitte warten ..
Mitglied: makaroni
15.10.2015 um 15:45 Uhr
Ja, nur Enterprise Admins haben dann auch in allen Bereichen volle Rechte, das soll so nicht sein. Der User soll nur zum Auslesen da sein ;)
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
15.10.2015, aktualisiert um 15:48 Uhr
Dann legst du dir halt deine eigene Gruppe an, machst den User dort Mitglied und erteilst der Gruppe nur die entsprechenden Rechte in allen Domains, feddich ...
Bitte warten ..
Mitglied: emeriks
15.10.2015 um 20:19 Uhr
Hi,
vollkommen falsch.
Sofern für die betreffende Gruppe diesem User oder einer seiner Gruppen nicht explitzit das Recht zum Lesen entzogen wurde, darf jeder Benutzer jede Gruppe in jeder Domäne des Forest auslesen, incl. der Gruppenmitglieder.
Da wir nicht wissen, wie Dein PS-Befehl/-Script aussieht, kann ich hier nur vermuten.

Wie sieht die Abfrage aus?

E.
Bitte warten ..
Mitglied: makaroni
16.10.2015, aktualisiert um 09:35 Uhr
Hey,

bei dem Code hat mir Uwe bereits hier im Forum geholfen. Aber anbei der Hauptteil des Codes:




Selbst wenn ich in jeder Subdomain den gleichen User mit dem Passwort anlege, bekomm ich einen Credential Error.

Bitte warten ..
Mitglied: 122990
122990 (Level 2)
16.10.2015, aktualisiert um 11:19 Uhr
$securepass = gc "D:\Scripts\password\pwd.txt" | convertto-SecureString
$cred = New-Object PSCredential($AD_Domain_User, $securepass)
Ich weiß nicht ob du das weißt aber wenn du das Passwort welches du als SecureString in einer Textdatei gespeichert hast wiederverwenden willst muss das Skript auf dem selben Rechner und dem selben Useraccount aufgerufen werden womit das Passwort in die Textdatei erzeugt wurde!
https://www.administrator.de/forum/ad-gruppenmitglieder-powershell-ander ...
Bitte warten ..
Mitglied: makaroni
16.10.2015 um 14:45 Uhr
Japs das ist mir bewusst :) face-smile ich führe es ja auch auf dem gleichen Rechner mit dem gleichen Benutzer aus :) face-smile
Bitte warten ..
Mitglied: emeriks
16.10.2015 um 16:42 Uhr
Und wenn Du das mit den Credentials komplett weg lässt? Dann laufen die Abfragen unter jenem User, welcher dieses Script ausführt.
Bitte warten ..
Mitglied: makaroni
20.10.2015 um 10:59 Uhr
Geht nicht, es wir von einem Server zentral gesteuert ;)
Bitte warten ..
Mitglied: emeriks
LÖSUNG 20.10.2015, aktualisiert um 14:03 Uhr
Geht nicht, es wir von einem Server zentral gesteuert ;)
Und was heißt das bitte? Auch ein Computer ist ein Benutzer.
Bitte warten ..
Mitglied: makaroni
20.10.2015 um 14:05 Uhr
Ein zentraler Server soll zum Auslesen diverser Gruppen von anderen Domains genutzt werden.

Sprich es werden unterschiedliche Benutzer und Passwörter für die jeweiligen Domains genutzt. :) face-smile
Bitte warten ..
Mitglied: emeriks
20.10.2015, aktualisiert um 14:38 Uhr
War das "gelöst" jetzt ein Versehen?

Sprich es werden unterschiedliche Benutzer und Passwörter für die jeweiligen Domains genutzt.
Kann man machen, aber wenn sie alle in einem Forest sind, dann braucht man das nicht. Ein Task, der unter Local System auf einem Member-Computer läuft, kann standardmäßig alle AD Objekte des gesamten Forest lesen.
Bitte warten ..
Mitglied: makaroni
20.10.2015 um 14:48 Uhr
Yes, war ein versehen. Der Button ist zu nah am "kommentieren" dran ;)

Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Bitte warten ..
Mitglied: emeriks
20.10.2015 um 14:57 Uhr
Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Prima. Und warum schreibst Du das nicht gleich? Du hast bisher immer nur von "Subdomains" geschrieben ....

Also, hast Du jetzt Probleme mit Domänen in anderen Strukturen oder mit Subdomänen einer Struktur oder ne Kombination davon?
Existieren Vertrauensstellungen zwischen den Strukturen oder zwischen einzelnen Domänen davon?
Bitte warten ..
Mitglied: 122990
122990 (Level 2)
20.10.2015, aktualisiert um 23:03 Uhr
Zitat von @makaroni:
Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Na super, kommt wirklich früh die Info ..., wie @emeriks schon Fragt, gibt's Vertrauensstellungen ? Denn ohne lüppt das mit nur einem Satz Credentials nicht.
Bitte warten ..
Mitglied: makaroni
21.10.2015 um 09:07 Uhr
Sorry, ihr habt Recht, hätte ich erwähnen müssen. Vertrauenstellungen gibt es teils teils. Je nach Kunde.
Bitte warten ..
Mitglied: makaroni
21.10.2015 um 09:20 Uhr
Aber selbst mit Vertrauenstellung benötige ich anscheinend mehr als einen Satz Credentials. Die Anmeldeeigenschaften sind ja je Subdomain unterschiedlich.
Bitte warten ..
Mitglied: makaroni
28.10.2015 um 09:31 Uhr
Keine Idee mehr?
Bitte warten ..
Mitglied: emeriks
28.10.2015 um 10:04 Uhr
Nochmal: Nein!
Wenn da tatsächlich funktionale Vertrauensstellungen bestehen, dann kann jeder Benutzer und jeder Computer alle Objekte des AD lesen, auch in den vertrauten Domänen. Dafür brauche ich dann keine anderen Anmeldedaten.
Es kann aber auch sein, dass die Vertrauensstellungen nur eingeschränkt sind.
Bitte warten ..
Mitglied: makaroni
28.10.2015 um 10:17 Uhr
Nochmal? Sorry hatte ich zuvor noch nicht gesehen...

Beispiel folgende Domain:

Outgoing Trust:
Domain Name Trust Type Transitive
test.intern.com Child YES
test1. intern.com Child YES

Incoming Trust:
Domain Name Trust Type Transitive
test.intern.com Child YES
test1. intern.com Child YES

Diese Vertrauensstellung habe ich z.B. in einer Domain.
Das müsste dann doch eigentlich funktionieren?
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
FB und Archer 2 getrennte Netze mit einer WAN-Verbindung
neuhier14Vor 19 StundenFrageRouter & Routing25 Kommentare

Hallo, ich habe eine Fritzbox 7490 und einen Archer C5 mit OpenWRT. Die Fritzbox ist mein Hauptrouter. Ich würde daneben gerne ein komplett getrenntes ...

Entwicklung
Plattformübergreifende Programmierung mit Visual Studio
gelöst nagitaVor 1 TagAllgemeinEntwicklung11 Kommentare

Hallo ich habe mir vor einiger Zeit die aktuellste Version von Visual Studio installiert und bin eigentlich auch recht zufrieden damit. Ich habe vor, ...

Netzwerke
PFSense und Transferprobleme
Xaero1982Vor 1 TagFrageNetzwerke23 Kommentare

Moin Zusammen, leidiges Thema PFSense - ich hab mich mal wieder ran gewagt. Ich hab hier so ein paar VLANs laufen und nen ESX. ...

Datenbanken
Liste als PDF ausdrucken
jensgebkenVor 1 TagFrageDatenbanken6 Kommentare

Hallo Gemeinschaft, Ich habe eine Access Datenbank und darin eine Abfrage in der Kunden Adressen und Kosten angezeigt werden pro Kunde. Nun möchte ich, ...

Exchange Server
Postfach für öffentliche Ordner ist voll
gelöst Tommy525600Vor 1 TagFrageExchange Server6 Kommentare

Hallo an alle, ich habe folgendes Problem: Mein primäres Postfach für öffentliche Ordner ist voll (99,58 GB) (und ja, ich kann auch nix dafür). ...

Linux
Bootable Win7 stick from Raspberry commandline
winlinVor 16 StundenFrageLinux12 Kommentare

Hallo zusammen Ich benötige einen bootfähigen Win7 USB Stick. Muss diesen über meine Raspberry erstellen. Was ist die beste Variante habe schon ein paar ...

Windows Server
Kein Netzwerkzugriff auf Windows Server 2019?
Henk86Vor 1 TagFrageWindows Server8 Kommentare

Ich habe mir einen neuen "Heimserver" mit Windows Server 2019 (evaluation vorerst) aufgesetzt. Gestern habe ich von meinem Hauptrechner einige Daten auf den Server ...

Windows Server
Problem bei Windows 10 Deployment mit MDT
gelöst neophyte2021Vor 1 TagFrageWindows Server7 Kommentare

Hallo, ich habe folgendes Problem, ich habe in einem Artikel auf englisch gelesen, das wenn man mit dem MDT Windows 10 ausrollen will und ...