darkzonesd
Goto Top

Unbekanntes AD Konto in Delegation

Guten Tag zusammen,

in meinem aktuellen PingCastle Bericht für unsere Domain haben wir unter dem Punkt "Delegation Check" die Meldung: "Presence of unknown account in delegation: 9". Wenn ich in der Liste der Delegierungen schaue, steht unter der Delegierung 9: "CN=AdminSDHolder,CN=System S-1-5-21-2205658713-544517623-1489493784-1392 GenericAll, GenericWrite, WriteDacl, WriteOwner".

Wenn ich dieses Object mit der sid suche, finde ich dieses nicht. Auch nicht mit -IncludeDeletedObjects
 Get-ADObject -IncludeDeletedObjects -Filter * -Properties * | Where-Object { $_.objectSid -eq $strSID }

Weiß jemand von Euch wie ich dieses Objekt finde? Bin Momentan etwas ratlos..

Viele Grüße

Content-ID: 92624853119

Url: https://administrator.de/contentid/92624853119

Ausgedruckt am: 03.12.2024 um 19:12 Uhr

NordicMike
Lösung NordicMike 03.06.2024 um 09:44:28 Uhr
Goto Top
Vielleicht gibt es dieses Konto auch gar nicht /mehr. Das sagt ja auch der Bericht.

Was wird denn delegiert? Dann kannst du einschätzen was passiert, wenn du was unbekanntes entfernst.
13034433319
13034433319 03.06.2024 aktualisiert um 10:38:23 Uhr
Goto Top
Zitat von @DarkZoneSD:
Weiß jemand von Euch wie ich dieses Objekt finde? Bin Momentan etwas ratlos..

Ein verwaister Eintrag In der ACL eines AD-Objektes.

Rechtsklick auf das entsprechende Objekt im AdminSDHolder Container : Objekt > Eigenschaften > Sicherheit

Gruß
DarkZoneSD
DarkZoneSD 03.06.2024 aktualisiert um 13:47:13 Uhr
Goto Top
Vielleicht gibt es dieses Konto auch gar nicht /mehr. Das sagt ja auch der Bericht.
Sollte das Konto dann nicht trotzdem auftauchen durch den Parameter "-IncludeDeletedObjects"?

Delegiert wird:
"ActiveDirectoryRights","AccessControlType","ObjectType","InheritanceFlags","PropagationFlags","IsInherited"  
"WriteProperty","Allow","user","ContainerInherit","None","False"  
"WriteProperty","Allow","group","ContainerInherit","None","False"  
"WriteProperty","Allow","OU","ContainerInherit","None","False"  
"WriteProperty","Allow","OU","ContainerInherit","None","False"  
"GenericAll","Allow","user","ContainerInherit","None","False"  
"WriteProperty","Allow","group","ContainerInherit","None","False"  
"WriteProperty","Allow","Computer","ContainerInherit","None","False"  
"WriteProperty","Allow","b1b3a417-ec55-4191-b327-b72e33e38af2","ContainerInherit","None","False"  
"WriteProperty","Allow","OU","ContainerInherit","None","False"  
"WriteProperty","Allow","container","ContainerInherit","None","False"  
"WriteProperty","Allow","container","ContainerInherit","None","False"  
"WriteProperty","Allow","OU","ContainerInherit","None","False"  
"WriteProperty","Allow","group","ContainerInherit","None","False"  
"WriteProperty","Allow","group","ContainerInherit","None","False"  
"WriteProperty","Allow","OU","ContainerInherit","None","False"  
Wenn ich mir die Berechtigungseinträge für die Delegierungen anschaue sind keine Haken gesetzt..


An welche Objekte genau finde ich leider nicht heraus. Die Groups müssten ja Domain Admins, Administrators, Enterprise Admins und Schema Admins sein, aber aus den restlichen werde ich leider nicht schlau.
13034433319
Lösung 13034433319 03.06.2024 aktualisiert um 14:58:43 Uhr
Goto Top
Sollte das Konto dann nicht trotzdem auftauchen durch den Parameter "-IncludeDeletedObjects"?

Nein, nicht zwingend. Wenn es eine orphaned ACL ist kann die dort auch ohne Objekt noch stehen.
Und der AD Papierkorb löscht ja Objekte nach Ablauf Ihrer tombstone lifetime automatisch.


Was ergibt folgendes bei dir?
(Get-ACL "AD:\CN=AdminSDHolder,CN=System,$((Get-ADDomain).DistinguishedName)").Access | Select IdentityReference,AccessControlType