4
Unbekanntes AD Konto in Delegation
Guten Tag zusammen,
in meinem aktuellen PingCastle Bericht für unsere Domain haben wir unter dem Punkt "Delegation Check" die Meldung: "Presence of unknown account in delegation: 9". Wenn ich in der Liste der Delegierungen schaue, steht unter der Delegierung 9: "CN=AdminSDHolder,CN=System S-1-5-21-2205658713-544517623-1489493784-1392 GenericAll, GenericWrite, WriteDacl, WriteOwner".
Wenn ich dieses Object mit der sid suche, finde ich dieses nicht. Auch nicht mit -IncludeDeletedObjects
Weiß jemand von Euch wie ich dieses Objekt finde? Bin Momentan etwas ratlos..
Viele Grüße
in meinem aktuellen PingCastle Bericht für unsere Domain haben wir unter dem Punkt "Delegation Check" die Meldung: "Presence of unknown account in delegation: 9". Wenn ich in der Liste der Delegierungen schaue, steht unter der Delegierung 9: "CN=AdminSDHolder,CN=System S-1-5-21-2205658713-544517623-1489493784-1392 GenericAll, GenericWrite, WriteDacl, WriteOwner".
Wenn ich dieses Object mit der sid suche, finde ich dieses nicht. Auch nicht mit -IncludeDeletedObjects
Get-ADObject -IncludeDeletedObjects -Filter * -Properties * | Where-Object { $_.objectSid -eq $strSID }Weiß jemand von Euch wie ich dieses Objekt finde? Bin Momentan etwas ratlos..
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92624853119
Url: https://administrator.de/contentid/92624853119
Printed on: June 23, 2024 at 02:06 o'clock
4 Comments
Latest comment
Vielleicht gibt es dieses Konto auch gar nicht /mehr. Das sagt ja auch der Bericht.
Was wird denn delegiert? Dann kannst du einschätzen was passiert, wenn du was unbekanntes entfernst.
Was wird denn delegiert? Dann kannst du einschätzen was passiert, wenn du was unbekanntes entfernst.
Ein verwaister Eintrag In der ACL eines AD-Objektes.
Rechtsklick auf das entsprechende Objekt im AdminSDHolder Container : Objekt > Eigenschaften > Sicherheit
Gruß
Vielleicht gibt es dieses Konto auch gar nicht /mehr. Das sagt ja auch der Bericht.
Sollte das Konto dann nicht trotzdem auftauchen durch den Parameter "-IncludeDeletedObjects"?Delegiert wird:
"ActiveDirectoryRights","AccessControlType","ObjectType","InheritanceFlags","PropagationFlags","IsInherited"
"WriteProperty","Allow","user","ContainerInherit","None","False"
"WriteProperty","Allow","group","ContainerInherit","None","False"
"WriteProperty","Allow","OU","ContainerInherit","None","False"
"WriteProperty","Allow","OU","ContainerInherit","None","False"
"GenericAll","Allow","user","ContainerInherit","None","False"
"WriteProperty","Allow","group","ContainerInherit","None","False"
"WriteProperty","Allow","Computer","ContainerInherit","None","False"
"WriteProperty","Allow","b1b3a417-ec55-4191-b327-b72e33e38af2","ContainerInherit","None","False"
"WriteProperty","Allow","OU","ContainerInherit","None","False"
"WriteProperty","Allow","container","ContainerInherit","None","False"
"WriteProperty","Allow","container","ContainerInherit","None","False"
"WriteProperty","Allow","OU","ContainerInherit","None","False"
"WriteProperty","Allow","group","ContainerInherit","None","False"
"WriteProperty","Allow","group","ContainerInherit","None","False"
"WriteProperty","Allow","OU","ContainerInherit","None","False" An welche Objekte genau finde ich leider nicht heraus. Die Groups müssten ja Domain Admins, Administrators, Enterprise Admins und Schema Admins sein, aber aus den restlichen werde ich leider nicht schlau.
Sollte das Konto dann nicht trotzdem auftauchen durch den Parameter "-IncludeDeletedObjects"?
Nein, nicht zwingend. Wenn es eine orphaned ACL ist kann die dort auch ohne Objekt noch stehen.
Und der AD Papierkorb löscht ja Objekte nach Ablauf Ihrer tombstone lifetime automatisch.
Was ergibt folgendes bei dir?
(Get-ACL "AD:\CN=AdminSDHolder,CN=System,$((Get-ADDomain).DistinguishedName)").Access | Select IdentityReference,AccessControlType