Zum Inhalt springen

Warum können Domänen-User ACLs andere CN's verändern, mittels AD Explorer? HILFE!!!


simon_muc

Empfohlene Beiträge

Hallo zusammen,

heute bin ich per Zufall auf ein komisches Phänomen gestoßen.

Ich musste mit großem staunen feststellen, dass in meiner Win 2K3 R2 Domäne, ein normale "User" (lediglich Mitglied der Gruppe "Domänen-Benutzer"), mittels dem "Active Directory Explorer" von Microsoft, die Sicherheitseinstellungen andere User und Gruppen verändern kann.

So kann sich z.B. der User "Peter", die Berechtigung "senden als Linda" selbst erteilen.

Darauf hin habe ich dass gleiche in einer unabhängigen, relativ frisch aufgesetzten Windows Server 2008 R2 Domäne probiert, hier war das selbige möglich!!! Somit vermute ich, dass es eine Windows std. Konfiguration ist!?

Hat jemand von euch schonmal gleiches erlebt bzw. könnt Ihr das an eurem Activce-Directory nachvollziehen?

Dies ist bei uns natürlich überhaupt nicht erwünscht und ich möchte es schnellst möglich unterbinden, dass User die Sicherheitseinstellungen andere User veränder können, deshalb meine 2 fragen:

a) Wieso ist dies so?

B) Wie kann man die Domänen-ACLs entsprechend anpassen, sodass dies nicht mehr geht? (Best-Practice)

Ich werde heute abend, wenn ich zuhause bin nochmal meine Microsoft Bücher durchstöbern, ob ich dazu was finde, aber google konnte mir vorerst mal nicht helfen :-(

Schon einmal Danke im Voraus!

Gruß,

Simon

Im konkreten Fall sieht dass Beispielszenario wie folgt aus:

1. Ich öffne den AD Explorer und gebe folgende Benutzerdaten an:

Connect to: [Hostname des Domain-Controllers]

User: [Normalen Domänen-Benutzer]

Password: [PW des Domänen-Benutzers]

2. Ich hangel mich durch die OUs zu einem beliebigen CN.

3. Rechte maustaste auf den CN und "Properties"

4. Wecheseln der Registerkarte zu "Sicherheit"

5. Nun kann ich Gruppen- oder Benutzernamen löschen, bearbeiten und hinzufügen. Die Buttons "Hinzufügen" und "Entfernen" sind NICHT Ausgegraut!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hallo du!

Ich war erstmal geschockt und habe das gleich bei uns ausprobiert. Ich bin zwar in der Gruppe Domänen-Admins, habe aber auch einen User für Testzwecke, der wie dein User nur in Domänen-Benutzer eingruppiert ist.

Mit AD Explorer bin ich mal davon ausgegangen, dass du ADSIedit.msc meintest. Hab das also auf meiner Windows 7 Professional 32bit mit installiertem RSAT gestartet, eine neue Verbindung hinzugefügt und unter Erweitert meinen normal-User eingetragen.

Habe dann diverse CNs unter diversen OUs gerechtsklickt und bei mir sind immer Hinzufügen und Entfernen ausgegraut und auch den Rest kann ich nicht bearbeiten.

Wie sieht das bei dir in deiner DCDC unter Sicherheit aus? Ist da irgendetwas abenteuerliches für "Jeder" oder "Authentifizierte Benutzer" zugelassen?

Beste Grüße

meilon

EDIT: Ah, mir ist grad eingefallen, dass du den ADExplorer von SysInternals meinen könntest und hab den mal gestartet. Kann somit das Phänomen bestätigen, ein Normaluser darf damit Änderungen durchführen und die werden sogar auch gespeichert (Gegenprüfung mit ADSIEdit gemacht)!

Ist also definitiv ein Bug in SysInternals' ADExplorer!

Bearbeitet von meilon
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...