9
Microsoft DFS Namespace explizite Rechte verwaiste ACLs löschen via cmd o. Powershell
Hallo zusammen,
Ich habe ein Microsoft DFS Namespace. In dem Namespace sind auf die veröffentlichten Ordner ACLs gesetzt.
Wie man in dem Screenshot sehen kann, ist hier eine "tote SID" enthalten.
Nun die Frage, wie bekomme ich diese am besten via Powershell oder CMD Command gelöscht.
Über die Befhele:
Kann die Tote SID nicht finden und entsprechend löschen.
Über die GUI ist es möglich.
Jemand eine Idee.
Vielen Dank.
Mfg Nemesis
Ich habe ein Microsoft DFS Namespace. In dem Namespace sind auf die veröffentlichten Ordner ACLs gesetzt.
Wie man in dem Screenshot sehen kann, ist hier eine "tote SID" enthalten.
Nun die Frage, wie bekomme ich diese am besten via Powershell oder CMD Command gelöscht.
Über die Befhele:
dfsutil property sd grant \\contoso.office\public\training ”CONTOSO\Domain Admins”:R CONTOSO\Trainers:R Protect Replace
Revoke-DFSNAccess und Remove-DFSNAccess mit gelöchtem Namen bzw der SID keinen Erfolg.Kann die Tote SID nicht finden und entsprechend löschen.
Über die GUI ist es möglich.
Jemand eine Idee.
Vielen Dank.
Mfg Nemesis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2436141964
Url: https://administrator.de/contentid/2436141964
Printed on: April 19, 2024 at 14:04 o'clock
9 Comments
Latest comment
Und wenn du mit Get-DFSNAccess die ACL mit where-object filterst und an das CMDLet Remove-DFSNAccess pipest?
Hi Pretty
danke für die Antwort. Leider nicht der gewünschte Erfolg, siehe die Ausgabe
MfG Nemesis
danke für die Antwort. Leider nicht der gewünschte Erfolg, siehe die Ausgabe
MfG Nemesis
Ein Beispiel für subinacl.exe gibt's hier:
https://michlstechblog.info/blog/windows-cleanup-permissions-from-delete ...
Beziehen von hier: https://web.archive.org/web/20171216102911/https://download.microsoft.co ...
https://michlstechblog.info/blog/windows-cleanup-permissions-from-delete ...
Beziehen von hier: https://web.archive.org/web/20171216102911/https://download.microsoft.co ...
Servus @nEmEsIs,
habe mal gerade nachgesehen. Die "explizit zugewiesenen Anzeige-Berechtgungen" stehen im AD aber nicht im normalen SecurityDescriptor des AD-Objektes sondern in einer separaten Eigenschaft namens msDFS-LinkSecurityDescriptorv2.
Habe dir auf die Schnelle mal was zusammengelötet was verwaiste SIDs aus der ACL eines Links in einem Namespace entfernt (hier schnell getestet auf einem Server 2022):
Das lässt sich natürlich auch auf alle Links ausdehnen indem man im Where-Object den Vergleich mit einem einzelnen Link-Pfad entfernt.
Hoffe das hilft dir weiter.
Grüße Uwe
habe mal gerade nachgesehen. Die "explizit zugewiesenen Anzeige-Berechtgungen" stehen im AD aber nicht im normalen SecurityDescriptor des AD-Objektes sondern in einer separaten Eigenschaft namens msDFS-LinkSecurityDescriptorv2.
Habe dir auf die Schnelle mal was zusammengelötet was verwaiste SIDs aus der ACL eines Links in einem Namespace entfernt (hier schnell getestet auf einem Server 2022):
Import-Module ActiveDirectory
# namespace to work on
$namespace = 'MyNamespace'
# link path
$linkpath = '/EXCH'
# get link from namespace
Get-ChildItem "AD:CN=$namespace,CN=$namespace,CN=DFS-Configuration,CN=System,$((Get-ADDomain).DistinguishedName)" | ?{$_.ObjectClass -eq 'msDFS-Linkv2' -and (Get-ADObject $_.distinguishedName -Properties 'msDFS-LinkPathv2').'msDFS-LinkPathv2' -eq $linkpath} | %{
# get link object properties
$link = Get-ADObject $_.distinguishedName -Properties 'msDFS-LinkSecurityDescriptorv2'
# remove access rules with abandoned accounts from access list
$link.'msDFS-LinkSecurityDescriptorv2'.Access | ?{try{[void]$_.IdentityReference.Translate([System.Security.Principal.NTAccount])}catch{$true}} | %{[void]$link.'msDFS-LinkSecurityDescriptorv2'.RemoveAccessRule($_)}
# replace security descriptor in property of link
Set-ADObject $_.DistinguishedName -Replace @{'msDFS-LinkSecurityDescriptorv2'=$link.'msDFS-LinkSecurityDescriptorv2'} -Verbose
}Hoffe das hilft dir weiter.
Grüße Uwe
1
Hallo Uwe,
Puh okay das ist ne Nummer für sich die im ADSI Edit zu entfernen.
Schade das es hierfür keinen direkten Befehl gibt.
Werd es mal in ner Umgebung austesten und Feedback geben.
Mit freundlichen Grüßen Nemesis
Puh okay das ist ne Nummer für sich die im ADSI Edit zu entfernen.
Schade das es hierfür keinen direkten Befehl gibt.
Werd es mal in ner Umgebung austesten und Feedback geben.
Mit freundlichen Grüßen Nemesis
Warum nicht über die GUI?
Geht es um viele solcher?
Geht es um viele solcher?
Hi
Geht um Automatisierung, sprich wenn Admin die AD Gruppe löscht, aber das DFS ABE bzw ACL vergisst, soll das dann durch ein Skript gelöscht werden.
Mit freundlichen Grüßen Nemesis
Geht um Automatisierung, sprich wenn Admin die AD Gruppe löscht, aber das DFS ABE bzw ACL vergisst, soll das dann durch ein Skript gelöscht werden.
Mit freundlichen Grüßen Nemesis
Warum setzt du die Rechte eigentlich dort? Die andere Option (siehe dein Screenshot) wäre hierbei einfacher, nämlich die Rechte von der Freigabe zu übernehmen. Da würde schon ein subinacl Einzeiler genügen, um das zu berichtigen.
Hi
Naja die lokalen Rechte des Namespace Servers also auf den Domain Controllern sind das jeder alle Ordner im Namespace sieht.
Er nimmt diese ja nicht von der Freigabe des Servers das ist ein Trugschluss!
Ich will hier ja ABE haben sprich du siehst nur wozu du berechtigt bist.
Mit freundlichen Grüßen Nemesis
Naja die lokalen Rechte des Namespace Servers also auf den Domain Controllern sind das jeder alle Ordner im Namespace sieht.
Er nimmt diese ja nicht von der Freigabe des Servers das ist ein Trugschluss!
Ich will hier ja ABE haben sprich du siehst nur wozu du berechtigt bist.
Mit freundlichen Grüßen Nemesis
