elmeracmeee
Goto Top

Sternchen SIDs in GPOs

Hallo,
nach SEHR langer Zeit wurde lezte Woche mal wieder einen Blick in die Eventlogs der DCs geworfen und daraus sind nun ein paar Aufgaben entstanden...
u.a. gibt es Settings in der default Domain Controller Policy unter Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Bei "Allow Logon Locally", "Log on as a Service", "Restore Files and Directories" gibt es SIDs mit einem vorangestellten "*". z.B. *-S-1-5-21-....
Die Anzeige der SID bedeutet doch normalerweise, dass es diese Accounts nicht mehr gibt? (Oder könnten das auch irgendwelche Spezial Accounts sein?)
Die Domäne inkl dieser GPO wurde lange Zeit vor mir erstellt bzw angepasst und seither auch nicht mehr aufgeräumt face-sad

Danke
Gruß

Content-Key: 2628878929

Url: https://administrator.de/contentid/2628878929

Printed on: July 20, 2024 at 07:07 o'clock

Member: emeriks
emeriks Apr 28, 2022 at 11:56:27 (UTC)
Goto Top
Hi,
mit welchen RID enden denn diese SID's? (Zahl nach dem letzten "-")

Ich vermute mal, das sind SID von "BuiltIn"- oder "Wellknown"-Konten oder -Gruppen.

E.
Member: lcer00
lcer00 Apr 28, 2022 at 12:06:06 (UTC)
Goto Top
Hallo,

kleiner Tipp: bei Asterisk denken viele hier an sowas: https://de.wikipedia.org/wiki/Asterisk_(Telefonanlage)

Auf Deutsch heißt das, äh, warte mal, "Sternchen"! Ändere den Titel Deiner Frage, dann werden mehr SID-Spezialisten draufklicken.

Grüße

lcer
Member: lcer00
lcer00 Apr 28, 2022 at 12:08:01 (UTC)
Goto Top
Hallo,

was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.

Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....

Grüße

lcer
Member: ElmerAcmeee
ElmerAcmeee Apr 28, 2022 at 12:09:37 (UTC)
Goto Top
Hallo,
-1012 und -1283
Builtin Accounts wie z.B. NETWOK SERVICE oder Backup Operators werden korrekt aufgelöst.
Sind die Wellknown-Konten nicht normalerweise recht kurz?

Habe gerade erfahren, dass es auch mal ne Vertrauenstellung gab...

Danke und Gruß
Member: ElmerAcmeee
ElmerAcmeee Apr 28, 2022 at 12:12:08 (UTC)
Goto Top
Zitat von @lcer00:

Hallo,

was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.

Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....

Grüße

lcer

Hallo,
Item Level Backup ist da. Aber zum einfachen Restore müsste das AD dann auch noch funktionieren. Das war mir dann doch zu heiß um einfach zu löschen.
Danke
Member: emeriks
Solution emeriks Apr 28, 2022 at 12:15:29 (UTC)
Goto Top
-1012 und -1283
Dann sind das veraltete Einträge.

Habe gerade erfahren, dass es auch mal ne Vertrauenstellung gab...
Das kann man doch an der SID erkennen, ob diese zu einer Domain aus Eurem Forest gehört oder nicht.
Member: ElmerAcmeee
ElmerAcmeee Apr 29, 2022 at 05:38:31 (UTC)
Goto Top
Moin,
mich haben die vorangestellten Sternchen irritiert.
Das hatte ich so nicht in Erinnerung.
Haben nun nen Gegentest mit nem Account durchgeführt, den ich auch gelöscht habe. Gleiches verhalten - hätte ich auch gestern schon drauf kommen können...
Danke für die Hilfestellung / Rückendeckung.
Gruß