7
PurpleKnight adminCount1
Hallo zusammen,
ich habe die Tage mal den Test DC mit PurpleKnight durchlaufen lassen. Das Ergebnis war nicht ganz so erfreulich wie ich es mir erhofft hatte...
Unteranderem meckerte er mich an das unprivilegierte Accounts mit „adminCount=1“ ausgestattet sind, was ich irgendwie unlogisch fand. Alle diese Domänenbenutzer haben keine Adminrechte, sondern nur normale Benutzerrechte. Doch laut Attribut-Editor steht bei all diesen Domänenbenutzer tatsächlich adminCount auf 1!
Die einzigen Admin-Rechte hatte ich lokal auf dem Client, als ich diese über „Benutzerkonten verwalten“ für ein paar Minuten auf -> „Administrator“ delegiert habe. Nach dem Setup wurden die Rechte wieder auf „Remote User“ Rechte gesetzt, soweit ich weiß sind das keine Adminrechte, daher die Frage warum steht adminCount im Attribute Editor immer noch auf 1?
Danke!
ich habe die Tage mal den Test DC mit PurpleKnight durchlaufen lassen. Das Ergebnis war nicht ganz so erfreulich wie ich es mir erhofft hatte...
Unteranderem meckerte er mich an das unprivilegierte Accounts mit „adminCount=1“ ausgestattet sind, was ich irgendwie unlogisch fand. Alle diese Domänenbenutzer haben keine Adminrechte, sondern nur normale Benutzerrechte. Doch laut Attribut-Editor steht bei all diesen Domänenbenutzer tatsächlich adminCount auf 1!
Die einzigen Admin-Rechte hatte ich lokal auf dem Client, als ich diese über „Benutzerkonten verwalten“ für ein paar Minuten auf -> „Administrator“ delegiert habe. Nach dem Setup wurden die Rechte wieder auf „Remote User“ Rechte gesetzt, soweit ich weiß sind das keine Adminrechte, daher die Frage warum steht adminCount im Attribute Editor immer noch auf 1?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1170548260
Url: https://administrator.de/contentid/1170548260
Printed on: July 27, 2024 at 11:07 o'clock
7 Comments
Latest comment
Hi.
Mit lokalen Rechten, so wie Du es dir vorstellst, hat das nichts zu tun.
Du hattest diese Gruppe im AD privilegiert eingeordnet (Domänen-Admins o.Ä.) und dieses dann wieder abgerüstet, aber der Wert blieb auf 1, was jedoch keine negativen Auswirkungen hat, sondern lediglich für Verwirrung sorgen könnte - so beschreibt es der von dir gezeigte Text.
Mit lokalen Rechten, so wie Du es dir vorstellst, hat das nichts zu tun.
Du hattest diese Gruppe im AD privilegiert eingeordnet (Domänen-Admins o.Ä.) und dieses dann wieder abgerüstet, aber der Wert blieb auf 1, was jedoch keine negativen Auswirkungen hat, sondern lediglich für Verwirrung sorgen könnte - so beschreibt es der von dir gezeigte Text.
1
Deine User waren irgendwann mal Mitglied einer dieser "geschützten Gruppen"
Enterprise Administrators
Schema Administrators
Domain Administrators
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
Lesen und Verstehen
https://www.msxfaq.de/konzepte/adminsdholder.htm
Enterprise Administrators
Schema Administrators
Domain Administrators
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
Lesen und Verstehen
https://www.msxfaq.de/konzepte/adminsdholder.htm
Moin,
das heißt wenn der Domainbenutzer einmal Admin-Rechte hatte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?
Ein bisschen verwirrend... aber gut, wenn ich mir darüber keine Sorgen machen muss, kann ich damit leben
das heißt wenn der Domainbenutzer einmal Admin-Rechte hatte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?
Ein bisschen verwirrend... aber gut, wenn ich mir darüber keine Sorgen machen muss, kann ich damit leben
Zitat von @Tobi-2001:
das heißt wenn der Domainbenutzer einmal Admin-Rechte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?
Korrekt.das heißt wenn der Domainbenutzer einmal Admin-Rechte dann wird das in dem Paramter abgeändert in dem Fall auf "1", aber es wird nicht mehr auf 0 Zurückgesetzt, selbst wenn er die Admin-Rechte nicht mehr hat?
Ich wusste nicht, dass man das von Hand zurückstellen muss, jetzt weiß ich es. Vielen Dank!
@11078840001
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
@11078840001
Zurückgesetzt wird das Attribut adminCount aber nicht von selbst wenn man den User aus diesen Gruppen wieder entfernt hat, das muss dann manuell geschehen.
Hi
PurpleKnight wirft auch ab und an verwirrende Werte aus, wenn du das z.B. im Benutzerkontext eines Users laufen lässt der Mitglied der Gruppe "Protected Users" ist.
Aber mit dem Tool findet man schon einige Leichen, die man in irgendeinen Kellerraum vergessen hat
PurpleKnight wirft auch ab und an verwirrende Werte aus, wenn du das z.B. im Benutzerkontext eines Users laufen lässt der Mitglied der Gruppe "Protected Users" ist.
Aber mit dem Tool findet man schon einige Leichen, die man in irgendeinen Kellerraum vergessen hat
Ja, das ist mir jetzt auch aufgefallen, aber wie Du sagst es hat auch seine relevanten Tipps und dafür ist es super, da es auch kostenlos ist.
PurpleKnight wirft auch ab und an verwirrende Werte aus, wenn du das z.B. im Benutzerkontext eines Users laufen lässt der Mitglied der Gruppe "Protected Users" ist.
Aber mit dem Tool findet man schon einige Leichen, die man in irgendeinen Kellerraum vergessen hat
PurpleKnight wirft auch ab und an verwirrende Werte aus, wenn du das z.B. im Benutzerkontext eines Users laufen lässt der Mitglied der Gruppe "Protected Users" ist.
Aber mit dem Tool findet man schon einige Leichen, die man in irgendeinen Kellerraum vergessen hat