thorstenray
Goto Top

Rechte Delegierung Active Directory

Hallo zusammen,

ich habe da ein kleines Problem, bei dem ich leider nicht weiter weiß und auch keine Lösung finde.

Ich bin gerade dabei unsere AD-Struktur aufzuräumen und "ordentlich" zu machen.

Bisher ist das ein Kraut-und Rübenfeld, das glaubt man nicht. Will da jetzt auch nicht näher darauf eingehen.

Um das Ganze mal anzugehen, habe ich eine neue OU im AD erstellt und dorthin alle privilegierten Sicherheitsgruppen
und User verschoben.

Die Vererbung für diese OU ist deaktiviert, so dass dort nur noch Dom-Admins Anderrungen vornehmen können.
Das ist so gewollt, weil das bisher ein reiner Selbstbedienungsladen war.
Somit sollte sichergestellt werden, dass jeder nur noch die Rechte bekommt, die er braucht.
Auch arbeiten die Admins bei uns mit mehreren (bis zu 3) Usern. Der Primäre ohne Admin-Rechte (Hauptbenutzer),
der zweite mit erweiterteten Rechten und der dritte mit Dom-Admin rechten. Vom letzteren gibt es aber nur eine Hadvoll Benutzer (von insgesamt über 50 IT'ler) die solche
Rechte haben.

So weit so gut.
Leider ist es aber so, dass teilweise noch auf den Objekten selbst die Gruppe der Administratoren (nicht die Dom-Admins) berechtigt ist. Das ist auch unsere Problemgruppe.
Jedoch wollten wir mit dem verschieben in die neue OU das ganze aushebeln und dann die Gruppe der Administratoren aufräumen.
Das funktioniert leider nicht, weil auf vielen Objekten (Gruppen wie auch Benutzer) die Gruppe der Administratoren berechtigt sind (Änderungsrechte).
Slebst auf neu erstellte Benutzer die nicht per Default erstellt werden.

Und jetzt das merkwürdige.
Wenn ich die Gruppe der Administratoren aus den jeweiligen Objekten entferne und das bestätige, so tauch diese Gruppe nach einer bestimmten Zeit
wieder als berechtigte Gruppe auf.
Man dreht sich quasi im Kreis.

Was könnte das verursachen. Ich könnte mir vorstellen, dass das für Default-Objekte zum Selbstschutz gilt, aber doch nicht für neu erstellte Objekte wie Benutzer.
Da bringt mir es nicht, wenn ich eine OU absperre wenn dann die Benutzer über die richtige Gruppenmitgliedschaft doch wieder an die Objekte ran kommen.

Und erst die Administratoren Gruppe aufzuräumen dauert zu lange, weil die Abhängigkeiten keiner kennt.

Was könnte hier das Problem verursachen.
In der Default Domain Policy/ Defalut Domain Controller Policy habe ich keine Einstellung gefunden die so etwas verursachen könnte.

Jetzt ist guter Rat teuer.

Ich hoffe jemand hat mir einen Tipp.

VG
Thorsten

Content-ID: 365364

Url: https://administrator.de/contentid/365364

Ausgedruckt am: 25.11.2024 um 15:11 Uhr

emeriks
emeriks 20.02.2018 um 14:01:28 Uhr
Goto Top
Hi,
diese "Selbstreparatur" der Berechtigungen der Gruppe "Administratoren" ist ein Automatismus der von den Domaincontrollern abgearbeitet wird. Dagegen kommst Du nicht an.

Wenn Du das Mandat der GF hast, dann
- informiere alle betroffenen ITler über die Änderung
- aktiviere eine Überwachung der Gruppen "Adminitratoren", "Organisations-Admins", "Domänen-Admins" auf Änderungen -- auf allen DC's mit sofortiger Reaktion via Trigger auf das Eventlog -- z.B. Email auf ein externes Portsfach, wo keiner rankommt
- dann neue Admin-Gruppen erstellen
- Überwachungen für diese Gruppen einrichten auf Änderungen wie oben
- Dann diese Admin-Gruppen berechtigen
- Dann ITler laut GF-Segen diesen Admin-Gruppen zuordnen
- Dann die 3 o.g. Gruppen konsequent leeren. Gerne diesen Schritt auch zuerst. Dann musst Du aber alle diese Schritte in einem Rutsch hintereinander erledigen.
- Wenn jetzt noch jemand diese Gruppen ändert, ändern kann, weil er noch angemeldet war und ne laufende Sitzung auf einem DC hat, welche noch ein altes Kerberos Ticket hat, dann wird das geloggt. (Das hast Du vorher getestet face-wink ) -- Und in diesem Fall musst Du entscheiden/klären, wie und wo Du das aufhängst. Gleich die GF oder die Teamleitung oder Mitarbeiter direkt.

E.
rzlbrnft
rzlbrnft 21.02.2018 um 15:25:21 Uhr
Goto Top
Ich kann dir nur raten die Vererbung im AD nicht zu deaktivieren.
Damit kannst du dir z.B. bei Exchange für das erstellen von Elementen ziemliche Probleme verursachen.
Viele Microsoft Systeme nutzen Computerkonten und Delegierung, das funktioniert ohne Vererbung alles nicht mehr richtig.

Am besten wirfst du gleich alle "Admins" aus den Standard Gruppen raus und erstellst dann eigene sinnvollere, wie emeriks ja schon gesagt hat.