makaroni
Goto Top

Domainenübergreifender Benutzer

Hallo zusammen,

Ich habe eine Domain mit mehreren Subdomains

test.de
a.test.de
b.test.de
c.test.de

Nun befindet sich Benutzer Hans in der Domain test.de. Dieser besitzt nur die Berechtigungen "Domain User".

Mit diesem Benutzer sollen Benutzer einer Gruppe rekursive ausgelesen werden. In dieser Gruppe befinden sich allerdings auch Benutzer der anderen Subdomains. Sprich ich kann mit Hans, diese Nutzer nicht auslesen (zumindest nicht über Powershell)

Nun benötige ich ein Konzept, in dem Hans z.B. einer Universellen oder localen Gruppe hinzugefügt wird und diese Gruppe zu den Domain Usern in jeder Subdomain hinzugefügt wird.

Allerdings können Globale Gruppen (wie z.B. die Domain User) keine lokalen oder universellen Gruppen aufnehmen.
Auch mit dem AGDLP Konzept komme ich irgendwie nicht ans Ziel da ich immer wieder bei der Aufnahme der Gruppen in die globale Gruppe scheitere.

Wie kann ich meinen Wunsch umsetzen, ohne in jeder Subdomain den gleichen Nutzer anlegen zu lassen?

Vielen Dank

Content-ID: 285652

Url: https://administrator.de/forum/domainenuebergreifender-benutzer-285652.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

122990
122990 15.10.2015 aktualisiert um 15:43:13 Uhr
Goto Top
Moin,
das Skript bzw Befehl im Benutzerkontext eines privilegierten Nutzers ausführen welcher Domainübergreifend über entsprechende Enumeration-Rechte im AD verfügt, z.b die Enterprise-Admins.
Zur Info, einzelnen Befehlen lassen sich Credentials mitgeben ...

Gruß grexit
makaroni
makaroni 15.10.2015 um 15:45:49 Uhr
Goto Top
Ja, nur Enterprise Admins haben dann auch in allen Bereichen volle Rechte, das soll so nicht sein. Der User soll nur zum Auslesen da sein ;)
122990
122990 15.10.2015 aktualisiert um 15:48:48 Uhr
Goto Top
Dann legst du dir halt deine eigene Gruppe an, machst den User dort Mitglied und erteilst der Gruppe nur die entsprechenden Rechte in allen Domains, feddich ...
emeriks
emeriks 15.10.2015 um 20:19:16 Uhr
Goto Top
Hi,
vollkommen falsch.
Sofern für die betreffende Gruppe diesem User oder einer seiner Gruppen nicht explitzit das Recht zum Lesen entzogen wurde, darf jeder Benutzer jede Gruppe in jeder Domäne des Forest auslesen, incl. der Gruppenmitglieder.
Da wir nicht wissen, wie Dein PS-Befehl/-Script aussieht, kann ich hier nur vermuten.

Wie sieht die Abfrage aus?

E.
makaroni
makaroni 16.10.2015 aktualisiert um 09:35:18 Uhr
Goto Top
Hey,

bei dem Code hat mir Uwe bereits hier im Forum geholfen. Aber anbei der Hauptteil des Codes:

$AD_Domain_User = $AD_Domain + $AD_User
$securepass = gc "D:\Scripts\password\pwd.txt" | convertto-SecureString   
$cred = New-Object PSCredential($AD_Domain_User, $securepass) 

$Global:all2 = @()
$gruppen | %{
    $mitglieder = @()
    $mitglieder += Get-AdGroupMember $_ -Recursive -Server $server -Credential $cred -EA SilentlyContinue
    $mitglieder += Get-ADGroupMember $_ -Server $Server -Credential $cred -EA SilentlyContinue | ?{$_.objectClass -eq "group"} | Get-ADGroupMember -Recursive   
    $additionalProperties | %{Add-Member -InputObject $mitglieder -MemberType NoteProperty -Name $_ -Value ''}   
    foreach($member in $mitglieder){ 
        $props = get-aduser -Server $server -Credential $cred $member.SamAccountName -Properties $additionalProperties | select $additionalProperties 
        $additionalProperties |%{$member.($_) = $props.($_)} 
    }  
    $mitglieder = $mitglieder | ?{$_.Enabled -eq $true} | sort Name | select -Unique
    $all += New-Object PSObject -Property @{Gruppe=$_;Mitglieder=$mitglieder} 
    $all2 += $mitglieder
}



Selbst wenn ich in jeder Subdomain den gleichen User mit dem Passwort anlege, bekomm ich einen Credential Error.
Get-AdGroupMember : The server has rejected the client credentials.
At D:\dienst\bluecoat\Scripts\scripts\bud.ps1:37 char:20
+     $mitglieder += Get-AdGroupMember $_ -Recursive -Server $server -Credential $ ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : SecurityError: (Internet-Basis:ADGroup) [Get-ADGroupMember], AuthenticationException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.Security.Authentication.AuthenticationException,Microsoft.ActiveDirectory.Management.Commands.GetADGroupMember
122990
122990 16.10.2015 aktualisiert um 11:19:02 Uhr
Goto Top
$securepass = gc "D:\Scripts\password\pwd.txt" | convertto-SecureString
$cred = New-Object PSCredential($AD_Domain_User, $securepass)
Ich weiß nicht ob du das weißt aber wenn du das Passwort welches du als SecureString in einer Textdatei gespeichert hast wiederverwenden willst muss das Skript auf dem selben Rechner und dem selben Useraccount aufgerufen werden womit das Passwort in die Textdatei erzeugt wurde!
AD Gruppenmitglieder via Powershell von anderem Server auslesen..
makaroni
makaroni 16.10.2015 um 14:45:47 Uhr
Goto Top
Japs das ist mir bewusst face-smile ich führe es ja auch auf dem gleichen Rechner mit dem gleichen Benutzer aus face-smile
emeriks
emeriks 16.10.2015 um 16:42:49 Uhr
Goto Top
Und wenn Du das mit den Credentials komplett weg lässt? Dann laufen die Abfragen unter jenem User, welcher dieses Script ausführt.
makaroni
makaroni 20.10.2015 um 10:59:18 Uhr
Goto Top
Geht nicht, es wir von einem Server zentral gesteuert ;)
emeriks
Lösung emeriks 20.10.2015 aktualisiert um 14:03:48 Uhr
Goto Top
Geht nicht, es wir von einem Server zentral gesteuert ;)
Und was heißt das bitte? Auch ein Computer ist ein Benutzer.
makaroni
makaroni 20.10.2015 um 14:05:32 Uhr
Goto Top
Ein zentraler Server soll zum Auslesen diverser Gruppen von anderen Domains genutzt werden.

Sprich es werden unterschiedliche Benutzer und Passwörter für die jeweiligen Domains genutzt. face-smile
emeriks
emeriks 20.10.2015 aktualisiert um 14:38:57 Uhr
Goto Top
War das "gelöst" jetzt ein Versehen?

Sprich es werden unterschiedliche Benutzer und Passwörter für die jeweiligen Domains genutzt.
Kann man machen, aber wenn sie alle in einem Forest sind, dann braucht man das nicht. Ein Task, der unter Local System auf einem Member-Computer läuft, kann standardmäßig alle AD Objekte des gesamten Forest lesen.
makaroni
makaroni 20.10.2015 um 14:48:36 Uhr
Goto Top
Yes, war ein versehen. Der Button ist zu nah am "kommentieren" dran ;)

Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
emeriks
emeriks 20.10.2015 um 14:57:57 Uhr
Goto Top
Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Prima. Und warum schreibst Du das nicht gleich? Du hast bisher immer nur von "Subdomains" geschrieben ....

Also, hast Du jetzt Probleme mit Domänen in anderen Strukturen oder mit Subdomänen einer Struktur oder ne Kombination davon?
Existieren Vertrauensstellungen zwischen den Strukturen oder zwischen einzelnen Domänen davon?
122990
122990 20.10.2015 aktualisiert um 23:03:04 Uhr
Goto Top
Zitat von @makaroni:
Ja sind aber nicht alle in einem Forest. Sind mehrere Kunden.
Na super, kommt wirklich früh die Info ..., wie @emeriks schon Fragt, gibt's Vertrauensstellungen ? Denn ohne lüppt das mit nur einem Satz Credentials nicht.
makaroni
makaroni 21.10.2015 um 09:07:26 Uhr
Goto Top
Sorry, ihr habt Recht, hätte ich erwähnen müssen. Vertrauenstellungen gibt es teils teils. Je nach Kunde.
makaroni
makaroni 21.10.2015 um 09:20:19 Uhr
Goto Top
Aber selbst mit Vertrauenstellung benötige ich anscheinend mehr als einen Satz Credentials. Die Anmeldeeigenschaften sind ja je Subdomain unterschiedlich.
makaroni
makaroni 28.10.2015 um 09:31:18 Uhr
Goto Top
Keine Idee mehr?
emeriks
emeriks 28.10.2015 um 10:04:04 Uhr
Goto Top
Nochmal: Nein!
Wenn da tatsächlich funktionale Vertrauensstellungen bestehen, dann kann jeder Benutzer und jeder Computer alle Objekte des AD lesen, auch in den vertrauten Domänen. Dafür brauche ich dann keine anderen Anmeldedaten.
Es kann aber auch sein, dass die Vertrauensstellungen nur eingeschränkt sind.
makaroni
makaroni 28.10.2015 um 10:17:30 Uhr
Goto Top
Nochmal? Sorry hatte ich zuvor noch nicht gesehen...

Beispiel folgende Domain:

Outgoing Trust:
Domain Name Trust Type Transitive
test.intern.com Child YES
test1. intern.com Child YES

Incoming Trust:
Domain Name Trust Type Transitive
test.intern.com Child YES
test1. intern.com Child YES

Diese Vertrauensstellung habe ich z.B. in einer Domain.
Das müsste dann doch eigentlich funktionieren?