olifant77 10 Geschrieben 18. November 2008 Melden Teilen Geschrieben 18. November 2008 Hallo, will in einer OU innerhalb unseres AD ein paar restrikivere Rechte setze und weiß nicht so recht, welche Auswirkungen das haben könnte. Da ich einige Gruppen im AD anlegen möchte, um damit auf etwas sensiblere Freigabe auf einem Fileserver zu berechtigen - hätte ich gerne, dass nicht ein "authentifizierter Benutzer" diese Struktur lesen darf. Geht das indem ich die Gruppen in eine dedizierte OU packe und dann auf der betroffenen OU einfach die "authentifiziete Benutzer" rausnehme oder bringt dies unerwünschte Nebeneffekte mit sich? Wer kann mir da helfen? Gruß, Oli Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 18. November 2008 Melden Teilen Geschrieben 18. November 2008 Hallo, will in einer OU innerhalb unseres AD ein paar restrikivere Rechte setze und weiß nicht so recht, welche Auswirkungen das haben könnte. Da ich einige Gruppen im AD anlegen möchte, um damit auf etwas sensiblere Freigabe auf einem Fileserver zu berechtigen - hätte ich gerne, dass nicht ein "authentifizierter Benutzer" diese Struktur lesen darf. Was hat denn die Sensibilität des Filesystems mit der Möglichkeit zu tun Gruppennamen im AD lesen zu können? Prinzipiell kann man natürlich den Authentifizierten Usern das Lesen Recht auf bestimmte OUs entziehen und dort dann explizite Rechte vergeben. Sollte man allerdings vorher in einer Testumgebung mal nachstellen ehe man das in der Produktivumgebung umsetzt. Geht das indem ich die Gruppen in eine dedizierte OU packe und dann auf der betroffenen OU einfach die "authentifiziete Benutzer" rausnehme oder bringt dies unerwünschte Nebeneffekte mit sich? Prinzipiell geht das so. Allerdings mußt du dazu die Vererbung aufheben. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 18. November 2008 Melden Teilen Geschrieben 18. November 2008 Moin, Was hat denn die Sensibilität des Filesystems mit der Möglichkeit zu tun Gruppennamen im AD lesen zu können? naja, das finde ich schon nachvollziehbar: Die Daten sind so sensibel, dass bereits die Information, wer darauf Zugriff hat, heikel ist. Eine mögliche Alternative wäre hier, ausnahmsweise mit Lokalen Gruppen auf dem Server zu arbeiten. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 18. November 2008 Melden Teilen Geschrieben 18. November 2008 Moin, naja, das finde ich schon nachvollziehbar: Die Daten sind so sensibel, dass bereits die Information, wer darauf Zugriff hat, heikel ist. OK, wenn das so sein sollte, wäre aber eine komplette Trennung sicherer. Eine mögliche Alternative wäre hier, ausnahmsweise mit Lokalen Gruppen auf dem Server zu arbeiten. Oder mit zusätzlicher Domäne. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 18. November 2008 Melden Teilen Geschrieben 18. November 2008 Hi Oli, das Entfernen der "Authenticated Users" ist ein "gängiges" Szenario, wenn es um das Erreichen Deines Ziels geht. MS hat das hier auch dokumentiert: Implement ACEs for the Customer Organization Die Frage ist jedoch, ob man nicht trotzdem über Umwege an diese Informationen heran kommt. Das kommt sicherlich auf die "Energie" bzw. das Können eines potentiellen Angreifers an. Aber das Entfernen der Gruppe ist sicherlich ein Anfang. Eine zusätzliche Domäne bringt in diesem konkreten Fall meines Erachtens keine Vorteile, da das Problem ja das selbe bleibt: "Authenticated Users" dürften weiterhin die OU "auslesen" - denn auch Domänenbenutzer / Domänencomputer einer anderen Domäne des selben Forests (als auch im Normalfall bei getrusteten Forests) sind "Authenticated Users". Der Hinweis von Nils ist "charmant", da Du damit zumindest verhindern könntest, daß man direkt die Zuordnung für das Share hinbekommen würde. Aber es ist wie immer - mit wenigen Netzwerkscans oder etwas "social engineering" *B*S*BINGO* bekommst Du die Information wahrscheinlich trotzdem. Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.