watislos
Goto Top

Konto ist vertraulich und kann nicht delegiert werden

Hallo Zusammen,

gibt es eine Möglichkeit den Delegierungs Haken wie hier überall zu aktivieren?
oder muss man das per Hand bei allen Objekten durchführen?
Mein Ziel ist es diese Option für alle Benutzer zu aktivieren.

dele

Content-ID: 12010588067

Url: https://administrator.de/forum/konto-ist-vertraulich-und-kann-nicht-delegiert-werden-12010588067.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

11078840001
11078840001 15.02.2024 aktualisiert um 12:51:06 Uhr
Goto Top
Get-AdUser -Filter * | Set-Aduser -TrustedForDelegation $false -Confirm:$false -EA SilentlyContinue
https://learn.microsoft.com/en-us/powershell/module/activedirectory/set- ...
watIsLos
watIsLos 15.02.2024 aktualisiert um 12:48:36 Uhr
Goto Top
@11078840001

Da bekomme ich dann die Fehlermeldung:

Set-Aduser : Das Kennwort entspricht nicht den Domänenanforderungen bezüglich Länge, Komplexität und Verlauf.
In Zeile:1 Zeichen:24
+ ... er -Filter * | Set-Aduser -TrustedForDelegation $true -Confirm:$false
+                    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidData: (CN=Gruppe1,...,DC=meineFirma:ADUser) [Set-ADUser], ADPasswordComplexi
   tyException
    + FullyQualifiedErrorId : ActiveDirectoryServer:1325,Microsoft.ActiveDirectory.Management.Commands.SetADUser

Ich verstehe nicht ganz, warum er hier von Passwortrichtlinien spricht, das ist doch das Setzen eines ganz anderen Attributs.
11078840001
11078840001 15.02.2024 aktualisiert um 12:52:42 Uhr
Goto Top
Filtere die speziellen user raus, oder lass es nur über eine entsprechende OU laufen.
Wird nur wenige betreffen, die anderen setzt er ja trotzdem.
Wenn es ein normaler User ist, Kennwort zurücksetzen oder vom User neu setzen lassen damit es euren Richtlinien entspricht.
DerWoWusste
DerWoWusste 15.02.2024 um 12:54:37 Uhr
Goto Top
Darf ich fragen, wozu du das machen möchtest?
Diese Sicherheitsoption ist evtl. gar nicht dazu in der Lage.

Man kann abgegriffene Hashes weiterhin nutzen, um z.B. Prozesse als anderer Nutzer zu starten, auch wenn die Option an ist.
watIsLos
watIsLos 15.02.2024 um 12:55:18 Uhr
Goto Top
Das heißt wenn ich das nur auf z.B. Gruppe1 anwenden möchte dann per -Identity laufen lassen?

Get-AdUser -Filter * | Set-Aduser -Identity Gruppe1 -TrustedForDelegation $true -Confirm:$false
11078840001
11078840001 15.02.2024 aktualisiert um 13:29:29 Uhr
Goto Top
Nö, Parameter -SearchBase von Get-ADuser ist your friend.
RTFM
https://learn.microsoft.com/en-us/powershell/module/activedirectory/get- ...

Wenns nur User einer Gruppe betreffen soll dann ist Get-ADGroupMember dein Freund

Get-AdGroupMember "Gruppe1" -Recursive | Set-Aduser -TrustedForDelegation $false -Confirm:$false  
watIsLos
watIsLos 15.02.2024 aktualisiert um 14:36:45 Uhr
Goto Top
@DerWoWusste

Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn. Das man mit Mimikatz und anderes Tools die Hashes auslesen kann weiß ich.

https://www.semperis.com/de/blog/active-directory-unconstrained-delegati ...

Zitat von @DerWoWusste:

Darf ich fragen, wozu du das machen möchtest?
Diese Sicherheitsoption ist evtl. gar nicht dazu in der Lage.

Man kann abgegriffene Hashes weiterhin nutzen, um z.B. Prozesse als anderer Nutzer zu starten, auch wenn die Option an ist.
watIsLos
watIsLos 15.02.2024 um 13:35:16 Uhr
Goto Top
@11078840001

wenn ich das durchgebe, bekomme ich die Meldung:

Get-AdGroupMember : Unter "DC=meineFirma" kann kein Objekt mit der ID "Gruppe1" gefunden werden.  
In Zeile:1 Zeichen:1
+ Get-AdGroupMember "Gruppe1" -Recursive | Set-Aduser -TrustedForDelegati ...  
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (Users:ADGroup) [Get-ADGroupMember], ADIdentityNotFoundException
    + FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,M
   icrosoft.ActiveDirectory.Management.Commands.GetADGroupMember

Was kurios ist, weil die Gruppe gibt es.
11078840001
11078840001 15.02.2024 aktualisiert um 13:50:12 Uhr
Goto Top
Dann gib mal den DistingusihedName der Gruppe an. Sind da Domains im Trust mit dabei? Dann den entsprechend anzufragenden DC mit angeben. Rechte? AD-Sync? ... Glaskugel.
watIsLos
watIsLos 15.02.2024 aktualisiert um 14:05:26 Uhr
Goto Top
Ich habe die Admin-Domän Rechte über die Konsole.

Get-AdGroupMember "CN=Gruppe1,DC=meineFirma,DC=com" -Recursive | Set-Aduser -TrustedForDelegation $false -Confirm:$false   

Fehlermeldung:
Get-AdGroupMember : Verzeichnisobjekt nicht gefunden
11078840001
11078840001 15.02.2024 aktualisiert um 14:24:05 Uhr
Goto Top
Dann hast du ein Replikationsproblem mit deinem abgefragten DC. Frag mal einen GlobalCatalog DC mit dem -Server Parameter

Was sagt ein
Get-ADGroup "Gruppe1" -Server dcXYZ.meinefirma.com  
?
watIsLos
watIsLos 15.02.2024 um 14:31:36 Uhr
Goto Top
jap, scheint irgendwas mit der DFS Replikation nicht zu stimmen, billig.
Danke!
DerWoWusste
DerWoWusste 15.02.2024 um 15:14:50 Uhr
Goto Top
@DerWoWusste
Ich wollte aus Sicherheitsgründen (Uneingeschränkte Delegation) für die User deaktivieren. Ich finde das macht schon Sinn.
Das wagte ich doch zu hinterfragen. Es kommt nämlich drauf an, was du dir erhoffst. Diese Option wird oft missverstanden. Hackingtools wie inkognito.exe können weiterhin genutzt werden, obwohl diese Option gesetzt worden ist.
watIsLos
watIsLos 15.02.2024 um 15:18:12 Uhr
Goto Top
@DerWoWusste

Ich denke mal das deaktivieren der delegierung für alle Benutzer auf jeden Fall Sinn macht, oder?

Und was kann man gegen Tools wie Inkognito tun, wenn man glaubt, dass es ihnen egal ist, ob es aktiviert ist oder nicht?
DerWoWusste
DerWoWusste 15.02.2024 um 16:05:00 Uhr
Goto Top
Ich denke mal das deaktivieren der delegierung für alle Benutzer auf jeden Fall Sinn macht, oder?
Wenn du keine Nebeneffekte siehst, warum nicht.
Gegen Tools wie inkognito.exe kannst Du Applocker nutzen, Virenschutz, Adminrechte vermeiden, das Übliche. Aber das jemand einen Token auf diese Weise hijacken könnte, lässt sich prinzipiell nicht vermeiden.
watIsLos
watIsLos 15.02.2024 um 16:14:59 Uhr
Goto Top
Wir haben Applocker und AV aktiv, das müsste er erstmal durchbrechen.