Konto ist vertraulich und kann nicht delegiert werden
Hallo Zusammen,
gibt es eine Möglichkeit den Delegierungs Haken wie hier überall zu aktivieren?
oder muss man das per Hand bei allen Objekten durchführen?
Mein Ziel ist es diese Option für alle Benutzer zu aktivieren.
gibt es eine Möglichkeit den Delegierungs Haken wie hier überall zu aktivieren?
oder muss man das per Hand bei allen Objekten durchführen?
Mein Ziel ist es diese Option für alle Benutzer zu aktivieren.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12010588067
Url: https://administrator.de/forum/konto-ist-vertraulich-und-kann-nicht-delegiert-werden-12010588067.html
Ausgedruckt am: 23.12.2024 um 17:12 Uhr
16 Kommentare
Neuester Kommentar
Get-AdUser -Filter * | Set-Aduser -TrustedForDelegation $false -Confirm:$false -EA SilentlyContinue
Filtere die speziellen user raus, oder lass es nur über eine entsprechende OU laufen.
Wird nur wenige betreffen, die anderen setzt er ja trotzdem.
Wenn es ein normaler User ist, Kennwort zurücksetzen oder vom User neu setzen lassen damit es euren Richtlinien entspricht.
Wird nur wenige betreffen, die anderen setzt er ja trotzdem.
Wenn es ein normaler User ist, Kennwort zurücksetzen oder vom User neu setzen lassen damit es euren Richtlinien entspricht.
Nö, Parameter -SearchBase von Get-ADuser ist your friend.
RTFM
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...
Wenns nur User einer Gruppe betreffen soll dann ist Get-ADGroupMember dein Freund
RTFM
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...
Wenns nur User einer Gruppe betreffen soll dann ist Get-ADGroupMember dein Freund
Get-AdGroupMember "Gruppe1" -Recursive | Set-Aduser -TrustedForDelegation $false -Confirm:$false
Dann gib mal den DistingusihedName der Gruppe an. Sind da Domains im Trust mit dabei? Dann den entsprechend anzufragenden DC mit angeben. Rechte? AD-Sync? ... Glaskugel.
Dann hast du ein Replikationsproblem mit deinem abgefragten DC. Frag mal einen GlobalCatalog DC mit dem -Server Parameter
Was sagt ein
?
Was sagt ein
Get-ADGroup "Gruppe1" -Server dcXYZ.meinefirma.com
@DerWoWusste
Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn.
Das wagte ich doch zu hinterfragen. Es kommt nämlich drauf an, was du dir erhoffst. Diese Option wird oft missverstanden. Hackingtools wie inkognito.exe können weiterhin genutzt werden, obwohl diese Option gesetzt worden ist.Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn.
Ich denke mal das deaktivieren der delegierung für alle Benutzer auf jeden Fall Sinn macht, oder?
Wenn du keine Nebeneffekte siehst, warum nicht.Gegen Tools wie inkognito.exe kannst Du Applocker nutzen, Virenschutz, Adminrechte vermeiden, das Übliche. Aber das jemand einen Token auf diese Weise hijacken könnte, lässt sich prinzipiell nicht vermeiden.