Feb 15, 2024, updated at 11:41:13 (UTC)

1538

Konto ist vertraulich und kann nicht delegiert werden

Hallo Zusammen,

gibt es eine Möglichkeit den Delegierungs Haken wie hier überall zu aktivieren?
oder muss man das per Hand bei allen Objekten durchführen?
Mein Ziel ist es diese Option für alle Benutzer zu aktivieren.

Please also mark the comments that contributed to the solution of the article

Content-Key: 12010588067

Url: https://administrator.de/contentid/12010588067

Printed on: April 28, 2024 at 01:04 o'clock

16 Comments

Latest comment

Get-AdUser -Filter * | Set-Aduser -TrustedForDelegation $false -Confirm:$false -EA SilentlyContinue

https://learn.microsoft.com/en-us/powershell/module/activedirectory/set- ...

@11078840001

Da bekomme ich dann die Fehlermeldung:

Set-Aduser : Das Kennwort entspricht nicht den Domänenanforderungen bezüglich Länge, Komplexität und Verlauf.
In Zeile:1 Zeichen:24
+ ... er -Filter * | Set-Aduser -TrustedForDelegation $true -Confirm:$false
+                    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidData: (CN=Gruppe1,...,DC=meineFirma:ADUser) [Set-ADUser], ADPasswordComplexi
   tyException
    + FullyQualifiedErrorId : ActiveDirectoryServer:1325,Microsoft.ActiveDirectory.Management.Commands.SetADUser

Ich verstehe nicht ganz, warum er hier von Passwortrichtlinien spricht, das ist doch das Setzen eines ganz anderen Attributs.

Filtere die speziellen user raus, oder lass es nur über eine entsprechende OU laufen.
Wird nur wenige betreffen, die anderen setzt er ja trotzdem.
Wenn es ein normaler User ist, Kennwort zurücksetzen oder vom User neu setzen lassen damit es euren Richtlinien entspricht.

Darf ich fragen, wozu du das machen möchtest?
Diese Sicherheitsoption ist evtl. gar nicht dazu in der Lage.

Man kann abgegriffene Hashes weiterhin nutzen, um z.B. Prozesse als anderer Nutzer zu starten, auch wenn die Option an ist.

Das heißt wenn ich das nur auf z.B. Gruppe1 anwenden möchte dann per -Identity laufen lassen?

Get-AdUser -Filter * | Set-Aduser -Identity Gruppe1 -TrustedForDelegation $true -Confirm:$false

Nö, Parameter -SearchBase von Get-ADuser ist your friend.
RTFM
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...

Wenns nur User einer Gruppe betreffen soll dann ist Get-ADGroupMember dein Freund

Get-AdGroupMember "Gruppe1" -Recursive | Set-Aduser -TrustedForDelegation $false -Confirm:$false  

@DerWoWusste

Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn. Das man mit Mimikatz und anderes Tools die Hashes auslesen kann weiß ich.

https://www.semperis.com/de/blog/active-directory-unconstrained-delegati ...

Zitat von @DerWoWusste:

Darf ich fragen, wozu du das machen möchtest?
Diese Sicherheitsoption ist evtl. gar nicht dazu in der Lage.

Man kann abgegriffene Hashes weiterhin nutzen, um z.B. Prozesse als anderer Nutzer zu starten, auch wenn die Option an ist.

@11078840001

wenn ich das durchgebe, bekomme ich die Meldung:

Get-AdGroupMember : Unter "DC=meineFirma" kann kein Objekt mit der ID "Gruppe1" gefunden werden.  
In Zeile:1 Zeichen:1
+ Get-AdGroupMember "Gruppe1" -Recursive | Set-Aduser -TrustedForDelegati ...  
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Users:ADGroup) [Get-ADGroupMember], ADIdentityNotFoundException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,M
   icrosoft.ActiveDirectory.Management.Commands.GetADGroupMember

Was kurios ist, weil die Gruppe gibt es.

Dann gib mal den DistingusihedName der Gruppe an. Sind da Domains im Trust mit dabei? Dann den entsprechend anzufragenden DC mit angeben. Rechte? AD-Sync? ... Glaskugel.

Ich habe die Admin-Domän Rechte über die Konsole.

Get-AdGroupMember "CN=Gruppe1,DC=meineFirma,DC=com" -Recursive | Set-Aduser -TrustedForDelegation $false -Confirm:$false   

Fehlermeldung:
Get-AdGroupMember : Verzeichnisobjekt nicht gefunden

Dann hast du ein Replikationsproblem mit deinem abgefragten DC. Frag mal einen GlobalCatalog DC mit dem -Server Parameter

Was sagt ein

Get-ADGroup "Gruppe1" -Server dcXYZ.meinefirma.com

jap, scheint irgendwas mit der DFS Replikation nicht zu stimmen, billig.
Danke!

@DerWoWusste
Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn.

Das wagte ich doch zu hinterfragen. Es kommt nämlich drauf an, was du dir erhoffst. Diese Option wird oft missverstanden. Hackingtools wie inkognito.exe können weiterhin genutzt werden, obwohl diese Option gesetzt worden ist.

@DerWoWusste

Ich denke mal das deaktivieren der delegierung für alle Benutzer auf jeden Fall Sinn macht, oder?

Und was kann man gegen Tools wie Inkognito tun, wenn man glaubt, dass es ihnen egal ist, ob es aktiviert ist oder nicht?

Ich denke mal das deaktivieren der delegierung für alle Benutzer auf jeden Fall Sinn macht, oder?

Wenn du keine Nebeneffekte siehst, warum nicht.
Gegen Tools wie inkognito.exe kannst Du Applocker nutzen, Virenschutz, Adminrechte vermeiden, das Übliche. Aber das jemand einen Token auf diese Weise hijacken könnte, lässt sich prinzipiell nicht vermeiden.

Wir haben Applocker und AV aktiv, das müsste er erstmal durchbrechen.

German Question Windows Server

Hotly discussed

Developer diary: Release 6.1admtech

End of availability for classic Teams clientDani