7
Sternchen SIDs in GPOs
Hallo,
nach SEHR langer Zeit wurde lezte Woche mal wieder einen Blick in die Eventlogs der DCs geworfen und daraus sind nun ein paar Aufgaben entstanden...
u.a. gibt es Settings in der default Domain Controller Policy unter Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Bei "Allow Logon Locally", "Log on as a Service", "Restore Files and Directories" gibt es SIDs mit einem vorangestellten "*". z.B. *-S-1-5-21-....
Die Anzeige der SID bedeutet doch normalerweise, dass es diese Accounts nicht mehr gibt? (Oder könnten das auch irgendwelche Spezial Accounts sein?)
Die Domäne inkl dieser GPO wurde lange Zeit vor mir erstellt bzw angepasst und seither auch nicht mehr aufgeräumt
Danke
Gruß
nach SEHR langer Zeit wurde lezte Woche mal wieder einen Blick in die Eventlogs der DCs geworfen und daraus sind nun ein paar Aufgaben entstanden...
u.a. gibt es Settings in der default Domain Controller Policy unter Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment. Bei "Allow Logon Locally", "Log on as a Service", "Restore Files and Directories" gibt es SIDs mit einem vorangestellten "*". z.B. *-S-1-5-21-....
Die Anzeige der SID bedeutet doch normalerweise, dass es diese Accounts nicht mehr gibt? (Oder könnten das auch irgendwelche Spezial Accounts sein?)
Die Domäne inkl dieser GPO wurde lange Zeit vor mir erstellt bzw angepasst und seither auch nicht mehr aufgeräumt
Danke
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2628878929
Url: https://administrator.de/contentid/2628878929
Printed on: May 7, 2024 at 05:05 o'clock
7 Comments
Latest comment
Hi,
mit welchen RID enden denn diese SID's? (Zahl nach dem letzten "-")
Ich vermute mal, das sind SID von "BuiltIn"- oder "Wellknown"-Konten oder -Gruppen.
E.
mit welchen RID enden denn diese SID's? (Zahl nach dem letzten "-")
Ich vermute mal, das sind SID von "BuiltIn"- oder "Wellknown"-Konten oder -Gruppen.
E.
Hallo,
kleiner Tipp: bei Asterisk denken viele hier an sowas: https://de.wikipedia.org/wiki/Asterisk_(Telefonanlage)
Auf Deutsch heißt das, äh, warte mal, "Sternchen"! Ändere den Titel Deiner Frage, dann werden mehr SID-Spezialisten draufklicken.
Grüße
lcer
kleiner Tipp: bei Asterisk denken viele hier an sowas: https://de.wikipedia.org/wiki/Asterisk_(Telefonanlage)
Auf Deutsch heißt das, äh, warte mal, "Sternchen"! Ändere den Titel Deiner Frage, dann werden mehr SID-Spezialisten draufklicken.
Grüße
lcer
Hallo,
was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.
Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....
Grüße
lcer
was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.
Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....
Grüße
lcer
Hallo,
-1012 und -1283
Builtin Accounts wie z.B. NETWOK SERVICE oder Backup Operators werden korrekt aufgelöst.
Sind die Wellknown-Konten nicht normalerweise recht kurz?
Habe gerade erfahren, dass es auch mal ne Vertrauenstellung gab...
Danke und Gruß
-1012 und -1283
Builtin Accounts wie z.B. NETWOK SERVICE oder Backup Operators werden korrekt aufgelöst.
Sind die Wellknown-Konten nicht normalerweise recht kurz?
Habe gerade erfahren, dass es auch mal ne Vertrauenstellung gab...
Danke und Gruß
Zitat von @lcer00:
Hallo,
was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.
Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....
Grüße
lcer
Hallo,
was ich eigentlich sagen will - Vorsicht mit der Default Domain Policy. Mach mindestens ein ordentliches Backup.
Die kann man nicht so ganz einfach wieder herstellen und Änderungen dort haben manchmal andere Auswirkungen, als geplant....
Grüße
lcer
Hallo,
Item Level Backup ist da. Aber zum einfachen Restore müsste das AD dann auch noch funktionieren. Das war mir dann doch zu heiß um einfach zu löschen.
Danke
-1012 und -1283
Dann sind das veraltete Einträge.Habe gerade erfahren, dass es auch mal ne Vertrauenstellung gab...
Das kann man doch an der SID erkennen, ob diese zu einer Domain aus Eurem Forest gehört oder nicht.
Moin,
mich haben die vorangestellten Sternchen irritiert.
Das hatte ich so nicht in Erinnerung.
Haben nun nen Gegentest mit nem Account durchgeführt, den ich auch gelöscht habe. Gleiches verhalten - hätte ich auch gestern schon drauf kommen können...
Danke für die Hilfestellung / Rückendeckung.
Gruß
mich haben die vorangestellten Sternchen irritiert.
Das hatte ich so nicht in Erinnerung.
Haben nun nen Gegentest mit nem Account durchgeführt, den ich auch gelöscht habe. Gleiches verhalten - hätte ich auch gestern schon drauf kommen können...
Danke für die Hilfestellung / Rückendeckung.
Gruß
