Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Vordefinierte Rechtevergabe im Active Directory - Erstellen eines neuen Benutzers

Mitglied: Erix83

Erix83 (Level 1) - Jetzt verbinden

01.11.2011 um 10:21 Uhr, 2772 Aufrufe, 2 Kommentare

Hallo zusammen,

eher durch Zufall ist mir in letzter Zeit aufgefallen, dass bei der Erstellung eines neuen Benutzers im AD, die standardmäßig vergebenen Berechtigungen unter dem Reiter Sicherheit nicht immer gleich zu sein scheinen.

Zum Hintergrund:
Aufgefallen ist das bei dem Versuch, die Berechtigungsvergabe in unserer neuen ERP Software ans AD zu knüpfen, ein an seinem Rechner angemeldeter User kann also beim Aufruf des ERP Systems ohne weitere Kennworteingabe sofort loslegen. Wir haben eine ziemliche Weile gesucht, bevor wir den Grund gefunden haben, warum nun von unseren ca. 60 Mitarbeitern nur so etwa 10 - 15 in der neuen Software erkannt wurden. Es schien auch keinen Zusammenhang zwischen den einzelnen Benutzern zu geben, von alt bis neu, von vielen Gruppenzugehörigkeiten bis hin zu Nutzern die nur in "Domänen-Nutzer" sind, einige in verschiedenen OUs, andere im User Container....alles war dabei

Letztendlich haben wir unter den Eigenschaften eines Users der erkannt wurde und einem der nicht erkannt wurde, die Reiter "Sicherheit" verglichen. Unter "Authentifizierte Nutzer" wurden wir fündig. Da, wo die Einträge zwecks lesen/schreiben verschiedener Informationen (Allgemeine Infos lesen/schreiben, Anmeldeinfos lesen/schreiben, Gruppenmitgliedschaft lesen/schreiben...) aufgelistet sind gab es erhebliche unterschiede. Bei den Benutzern, die von Anfang an erfolgreich erkannt wurden, war bei allen "Lesen"-Einträgen ein Haken bei Zulassen drin, bei den Anderen fehlten viele der Einträge. Letztendlich war es glaube ich der Zulassen-Haken bei Anmeldeinformationen lesen, der das Problem behoben hat.

Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt werden?

Gruß
Erik
Mitglied: n4426
01.11.2011 um 12:07 Uhr
Hi Erik,

wir hatten mal ein ähnliches Problem, das eine User angezeigt wurden, andere nicht. Das hat dann daran gelegen, dass einige User vorübergehen Domänen-Admin-Berechtigungen erhalten haben (warum auch immer, ich wars nicht). Du solltest dich mal mit dem Thema AdminSDHolder anschaun. Dieser AD-Mechanismuss schütze Admin-Accounts.

Hier mal ein link zu eine Guten beschreibung, wie man das z.B. für o.g. Fall wieder rückgängig machen kann.

http://www.msxfaq.net/konzepte/adminsdholder.htm

mfg
n4426
Bitte warten ..
Mitglied: Logan000
01.11.2011 um 13:16 Uhr
Moin Moin

Zitat von Erix83:
Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das
im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt
werden?
Ich habe leider keine Ahnung ob und wo die Standardeinstellungen hinterlegt sind.
Aber diese "Sicherheitseinstellungen" (oder einfach Rechte) werden vererbt.
Das ist weitesgehend anlaog zu den Rechten in Dateisystem.

Es gibt daher aus meiner sicht 2 Möglichkeiten wie diese Unetrschiede zustande kommen.
a) Ihr habt OUs mit unterschiedlichen Rechten (Stichwort: Objektverwaltung) und die darin angelegten User haben diese geerbt.
b) Über die Option Benutzer kopieren werden evtl. angepasste Rechte übernommen.

Gruß L.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory Design - Neu
gelöst Frage von TOAOICEWindows Server5 Kommentare

Hallo, ich bin bei einem neuen AG und habe die Aufgabe AD und Exchange einzuführen. Zur Sitation: 3 Standorte ...

Windows Server

Anlegen eines Benutzers in der Active Directory durch einen Laien

Frage von akadawaWindows Server2 Kommentare

Tach liebe Community, ich bearbeite z.Z. an meinem Projekt fürn meine Prüfung und mir fehlen ein Paar Infos bzw ...

Windows Server

Wo setzte ich Active Directory Restore Passwort neu

gelöst Frage von 131455Windows Server4 Kommentare

Hallo, wo setzte ich das Active Directory Restore Passwort neu ? Kann ich das Passwort Online testen ? Gruss ...

Windows Netzwerk

Ordnerzugriff des Benutzers wieder aufheben

Frage von ZunarasWindows Netzwerk4 Kommentare

Hallo, ich habe Ordner auf der NAS, wo nur ein bestimmter User Schreib- und Leserechte hat. Die Anderen haben ...

Neue Wissensbeiträge
Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Tipp von ChriBo vor 21 StundenFirewall

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 2 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 2 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Google Android
Facebooks unsichtbare Datensammlung
Information von AnkhMorpork vor 2 TagenGoogle Android2 Kommentare

Rund 30 Prozent aller Apps im Play-Store nehmen Kontakt zu Facebook auf, sobald man sie startet. So erfährt der ...

Heiß diskutierte Inhalte
Linux Userverwaltung
LogIn Versuche beschränken auf EINEN Versuch
gelöst Frage von GarroshLinux Userverwaltung23 Kommentare

Folgendes Problem Ich habe einen dezidierten Server beim Hoster gemietet, installiert ist Ubuntu 18.04.2 LTS‬ und als Webinterface Plesk. ...

Backup
Wo installiert man Veeam bei SoHo?
Frage von EDVMan27Backup14 Kommentare

Hallo, nachdem ich die neue Veeam CE bei mir getestet habe, wollte ich es einmal bei einem Kunden testen. ...

Ubuntu
Exchange Alternative auf Ubuntu
Frage von TELLOUbuntu11 Kommentare

Hi NG, wir müssen für unsere Kleine Firma (5 User) das Email / Kalendersystem neu einrichten. Ich könnte jetzt ...

Batch & Shell
Tasklist überprüfen
Frage von IleiesBatch & Shell10 Kommentare

Hallo zusammen, Wie kann ich in Batch überprüfen, ob gerade der Prozess "Skype.exe" ausgeführt wird? Also nicht so dass ...