Vordefinierte Rechtevergabe im Active Directory - Erstellen eines neuen Benutzers
Hallo zusammen,
eher durch Zufall ist mir in letzter Zeit aufgefallen, dass bei der Erstellung eines neuen Benutzers im AD, die standardmäßig vergebenen Berechtigungen unter dem Reiter Sicherheit nicht immer gleich zu sein scheinen.
Zum Hintergrund:
Aufgefallen ist das bei dem Versuch, die Berechtigungsvergabe in unserer neuen ERP Software ans AD zu knüpfen, ein an seinem Rechner angemeldeter User kann also beim Aufruf des ERP Systems ohne weitere Kennworteingabe sofort loslegen. Wir haben eine ziemliche Weile gesucht, bevor wir den Grund gefunden haben, warum nun von unseren ca. 60 Mitarbeitern nur so etwa 10 - 15 in der neuen Software erkannt wurden. Es schien auch keinen Zusammenhang zwischen den einzelnen Benutzern zu geben, von alt bis neu, von vielen Gruppenzugehörigkeiten bis hin zu Nutzern die nur in "Domänen-Nutzer" sind, einige in verschiedenen OUs, andere im User Container....alles war dabei
Letztendlich haben wir unter den Eigenschaften eines Users der erkannt wurde und einem der nicht erkannt wurde, die Reiter "Sicherheit" verglichen. Unter "Authentifizierte Nutzer" wurden wir fündig. Da, wo die Einträge zwecks lesen/schreiben verschiedener Informationen (Allgemeine Infos lesen/schreiben, Anmeldeinfos lesen/schreiben, Gruppenmitgliedschaft lesen/schreiben...) aufgelistet sind gab es erhebliche unterschiede. Bei den Benutzern, die von Anfang an erfolgreich erkannt wurden, war bei allen "Lesen"-Einträgen ein Haken bei Zulassen drin, bei den Anderen fehlten viele der Einträge. Letztendlich war es glaube ich der Zulassen-Haken bei Anmeldeinformationen lesen, der das Problem behoben hat.
Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt werden?
Gruß
Erik
eher durch Zufall ist mir in letzter Zeit aufgefallen, dass bei der Erstellung eines neuen Benutzers im AD, die standardmäßig vergebenen Berechtigungen unter dem Reiter Sicherheit nicht immer gleich zu sein scheinen.
Zum Hintergrund:
Aufgefallen ist das bei dem Versuch, die Berechtigungsvergabe in unserer neuen ERP Software ans AD zu knüpfen, ein an seinem Rechner angemeldeter User kann also beim Aufruf des ERP Systems ohne weitere Kennworteingabe sofort loslegen. Wir haben eine ziemliche Weile gesucht, bevor wir den Grund gefunden haben, warum nun von unseren ca. 60 Mitarbeitern nur so etwa 10 - 15 in der neuen Software erkannt wurden. Es schien auch keinen Zusammenhang zwischen den einzelnen Benutzern zu geben, von alt bis neu, von vielen Gruppenzugehörigkeiten bis hin zu Nutzern die nur in "Domänen-Nutzer" sind, einige in verschiedenen OUs, andere im User Container....alles war dabei
Letztendlich haben wir unter den Eigenschaften eines Users der erkannt wurde und einem der nicht erkannt wurde, die Reiter "Sicherheit" verglichen. Unter "Authentifizierte Nutzer" wurden wir fündig. Da, wo die Einträge zwecks lesen/schreiben verschiedener Informationen (Allgemeine Infos lesen/schreiben, Anmeldeinfos lesen/schreiben, Gruppenmitgliedschaft lesen/schreiben...) aufgelistet sind gab es erhebliche unterschiede. Bei den Benutzern, die von Anfang an erfolgreich erkannt wurden, war bei allen "Lesen"-Einträgen ein Haken bei Zulassen drin, bei den Anderen fehlten viele der Einträge. Letztendlich war es glaube ich der Zulassen-Haken bei Anmeldeinformationen lesen, der das Problem behoben hat.
Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt werden?
Gruß
Erik
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 175581
Url: https://administrator.de/contentid/175581
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
2 Kommentare
Neuester Kommentar
Hi Erik,
wir hatten mal ein ähnliches Problem, das eine User angezeigt wurden, andere nicht. Das hat dann daran gelegen, dass einige User vorübergehen Domänen-Admin-Berechtigungen erhalten haben (warum auch immer, ich wars nicht). Du solltest dich mal mit dem Thema AdminSDHolder anschaun. Dieser AD-Mechanismuss schütze Admin-Accounts.
Hier mal ein link zu eine Guten beschreibung, wie man das z.B. für o.g. Fall wieder rückgängig machen kann.
http://www.msxfaq.net/konzepte/adminsdholder.htm
mfg
n4426
wir hatten mal ein ähnliches Problem, das eine User angezeigt wurden, andere nicht. Das hat dann daran gelegen, dass einige User vorübergehen Domänen-Admin-Berechtigungen erhalten haben (warum auch immer, ich wars nicht). Du solltest dich mal mit dem Thema AdminSDHolder anschaun. Dieser AD-Mechanismuss schütze Admin-Accounts.
Hier mal ein link zu eine Guten beschreibung, wie man das z.B. für o.g. Fall wieder rückgängig machen kann.
http://www.msxfaq.net/konzepte/adminsdholder.htm
mfg
n4426
Moin Moin
Aber diese "Sicherheitseinstellungen" (oder einfach Rechte) werden vererbt.
Das ist weitesgehend anlaog zu den Rechten in Dateisystem.
Es gibt daher aus meiner sicht 2 Möglichkeiten wie diese Unetrschiede zustande kommen.
a) Ihr habt OUs mit unterschiedlichen Rechten (Stichwort: Objektverwaltung) und die darin angelegten User haben diese geerbt.
b) Über die Option Benutzer kopieren werden evtl. angepasste Rechte übernommen.
Gruß L.
Zitat von @Erix83:
Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das
im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt
werden?
Ich habe leider keine Ahnung ob und wo die Standardeinstellungen hinterlegt sind.Kann mir einer verraten, wo diese Einstellungen, welche die einzelnen Eigenschaften festlegen, gespeichert/vermerkt sind? Ist das
im AD-Schema hinterlegt? Ist es vom jeweiligen Benutzer abhängig, der ein AD User erstellt, welche Standardwerte gesetzt
werden?
Aber diese "Sicherheitseinstellungen" (oder einfach Rechte) werden vererbt.
Das ist weitesgehend anlaog zu den Rechten in Dateisystem.
Es gibt daher aus meiner sicht 2 Möglichkeiten wie diese Unetrschiede zustande kommen.
a) Ihr habt OUs mit unterschiedlichen Rechten (Stichwort: Objektverwaltung) und die darin angelegten User haben diese geerbt.
b) Über die Option Benutzer kopieren werden evtl. angepasste Rechte übernommen.
Gruß L.