Vererbbare Berechtigungen des übergeordneten Objekts einschließen
Hallo Community,
da mir gerade schon so gut geholfen wurde noch eine letzte Frage:
Unter den erweiterten Sicherheitseinstellungen von Benutzer-Objekten im AD haben einige User den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" nicht gesetzt, wodurch neue Sicherheitseinstellungen nicht greifen. Gibt es eine Möglichkeit übergreifend alle User einer OU mit dem Merkmal (also einem Haken) zu versehen? Bei über 2000 Objekten würde ich ungerne in jedes einzelne gehen.
Grüße
da mir gerade schon so gut geholfen wurde noch eine letzte Frage:
Unter den erweiterten Sicherheitseinstellungen von Benutzer-Objekten im AD haben einige User den Haken bei "Vererbbare Berechtigungen des übergeordneten Objekts einschließen" nicht gesetzt, wodurch neue Sicherheitseinstellungen nicht greifen. Gibt es eine Möglichkeit übergreifend alle User einer OU mit dem Merkmal (also einem Haken) zu versehen? Bei über 2000 Objekten würde ich ungerne in jedes einzelne gehen.
Grüße
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276273
Url: https://administrator.de/forum/vererbbare-berechtigungen-des-uebergeordneten-objekts-einschliessen-276273.html
Ausgedruckt am: 28.04.2025 um 14:04 Uhr
5 Kommentare
Neuester Kommentar
Hi,
kann es sein, dass diese "einige User" allesamt Mitglieder der Domänen-Admins oder gar der BuiltIn\Administratoren sind? Falls ja, dann kannst Du da scripten was Du willst. AD wird bei diesen Benutzern die Vererbung immer wieder rausnehmen.
E.
kann es sein, dass diese "einige User" allesamt Mitglieder der Domänen-Admins oder gar der BuiltIn\Administratoren sind? Falls ja, dann kannst Du da scripten was Du willst. AD wird bei diesen Benutzern die Vererbung immer wieder rausnehmen.
E.
Nein, leider nicht. Daran hatte ich auch schon gedacht. Es handelt sich hierbei jedoch nur um ganz normale User, die alle vor 2009 angelegt worden. - Möglicherweise ist damals was bei der Umstellung des DCs schief gelaufen - ich war damals zumindest noch nicht hier.
Hallo Shadovv,
das könnte etwa so aussehen:
Im aktuellen Zustand werden alle User in der angegebenen OU verarbeitet inkl. Unter-OUs. Möchtest du das nicht musst du bei Get-ADUser den Parameter -SearchScope OneLevel zusätzlich angeben
Grüße Uwe
das könnte etwa so aussehen:
Get-AdUser -Filter * -SearchBase "OU=Marketing,dc=contoso,dc=de" | %{
$acl = get-acl "AD:$($_.distinguishedName)"
$inherited = $acl.Access | ?{$_.IsInherited}
if (!$inherited){
write-host "Aktiviere die Vererbung der Object-ACL des Users $($_.SamAccountName)"
$acl.SetAccessRuleProtection($false,$true)
Set-Acl "AD:$($_.distinguishedName)" $acl
}
}Grüße Uwe
2
Super, vielen Dank. Hat eine Menge Arbeit erspart.
Tortzdem würde ich das was @emeriks schon angedeutet hat, auch beachten:
Stichwort AdminSDHolder: AD Berechtigungen : Der AdminSDHolder Mechanismus
Zitat:
Grüße Uwe
Stichwort AdminSDHolder: AD Berechtigungen : Der AdminSDHolder Mechanismus
Zitat:
Beim Umgang mit Active Directory Objektberechtigungen bemerken AD Administratoren des Öfteren einen seltsamen Effekt: Berechtigungen, die man auf Ebene einer bestimmten OU gesetzt hat, gelten auf einmal nicht mehr auf bestimmte Benutzer oder Gruppen, dies sich in der betreffenden OU befinden. Ein Helpdesk-Mitarbeiter oder User-Admin kann hier auf einmal nicht mehr das Passwort eines bestimmten Benutzers zurücksetzen, er kann keine Telefonnummer oder Mail-Adresse im Benutzerkonto ändern, oder er kann einer Gruppe keine neuen Mitglieder hinzufügen. Stets lautet die Fehlermeldung: Zugriff verweigert / Keine ausreichenden Berechtigungen.
