PurpleKnight adminCount1
Hallo zusammen,
ich habe die Tage mal den Test DC mit PurpleKnight durchlaufen lassen. Das Ergebnis war nicht ganz so erfreulich wie ich es mir erhofft hatte...
Unteranderem meckerte er mich an das unprivilegierte Accounts mit „adminCount=1“ ausgestattet sind, was ich irgendwie unlogisch fand. Alle diese Domänenbenutzer haben keine Adminrechte, sondern nur normale Benutzerrechte. Doch laut Attribut-Editor steht bei all diesen Domänenbenutzer tatsächlich adminCount auf 1!
![adminaccount - 4948691027221749 adminaccount](/images/c/2024/02/05/4948691027221749.jpg)
Die einzigen Admin-Rechte hatte ich lokal auf dem Client, als ich diese über „Benutzerkonten verwalten“ für ein paar Minuten auf -> „Administrator“ delegiert habe. Nach dem Setup wurden die Rechte wieder auf „Remote User“ Rechte gesetzt, soweit ich weiß sind das keine Adminrechte, daher die Frage warum steht adminCount im Attribute Editor immer noch auf 1?
Danke!
ich habe die Tage mal den Test DC mit PurpleKnight durchlaufen lassen. Das Ergebnis war nicht ganz so erfreulich wie ich es mir erhofft hatte...
Unteranderem meckerte er mich an das unprivilegierte Accounts mit „adminCount=1“ ausgestattet sind, was ich irgendwie unlogisch fand. Alle diese Domänenbenutzer haben keine Adminrechte, sondern nur normale Benutzerrechte. Doch laut Attribut-Editor steht bei all diesen Domänenbenutzer tatsächlich adminCount auf 1!
![adminaccount - 4948691027221749 adminaccount](/images/c/2024/02/05/4948691027221749.jpg)
Die einzigen Admin-Rechte hatte ich lokal auf dem Client, als ich diese über „Benutzerkonten verwalten“ für ein paar Minuten auf -> „Administrator“ delegiert habe. Nach dem Setup wurden die Rechte wieder auf „Remote User“ Rechte gesetzt, soweit ich weiß sind das keine Adminrechte, daher die Frage warum steht adminCount im Attribute Editor immer noch auf 1?
Danke!
Please also mark the comments that contributed to the solution of the article
Content-Key: 1170548260
Url: https://administrator.de/contentid/1170548260
Printed on: July 27, 2024 at 11:07 o'clock
7 Comments
Latest comment
Hi.
Mit lokalen Rechten, so wie Du es dir vorstellst, hat das nichts zu tun.
Du hattest diese Gruppe im AD privilegiert eingeordnet (Domänen-Admins o.Ä.) und dieses dann wieder abgerüstet, aber der Wert blieb auf 1, was jedoch keine negativen Auswirkungen hat, sondern lediglich für Verwirrung sorgen könnte - so beschreibt es der von dir gezeigte Text.
Mit lokalen Rechten, so wie Du es dir vorstellst, hat das nichts zu tun.
Du hattest diese Gruppe im AD privilegiert eingeordnet (Domänen-Admins o.Ä.) und dieses dann wieder abgerüstet, aber der Wert blieb auf 1, was jedoch keine negativen Auswirkungen hat, sondern lediglich für Verwirrung sorgen könnte - so beschreibt es der von dir gezeigte Text.
![Mitglied: 11078840001 Mitglied: 11078840001](/images/members/profile_male_64x64.png)
Deine User waren irgendwann mal Mitglied einer dieser "geschützten Gruppen"
Enterprise Administrators
Schema Administrators
Domain Administrators
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
Lesen und Verstehen
https://www.msxfaq.de/konzepte/adminsdholder.htm
Enterprise Administrators
Schema Administrators
Domain Administrators
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
Lesen und Verstehen
https://www.msxfaq.de/konzepte/adminsdholder.htm
![Mitglied: 11078840001 Mitglied: 11078840001](/images/members/profile_male_64x64.png)
Zitat von @Tobi-2001:
das heißt wenn der Domainbenutzer einmal Admin-Rechte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?
Korrekt.das heißt wenn der Domainbenutzer einmal Admin-Rechte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?