Bakemono 10 Geschrieben 19. August 2009 Melden Teilen Geschrieben 19. August 2009 Hallo, ich sitze hier vor meinem Win2000 Rechner in einer 2003er Domäne. Wir haben sehr viele Berechtigungen mittels Gruppen verteilt. Nun möchte ich in sehr verschachtelten Gruppen Mitgliedschaften finden. Eine Suche auf der OU Benutzer - Weitere - Benutzer - Mitgliedschaft von - Vorhanden - <String> zeigt keine Ergebnisse. Mit dem Sysinternals ADExplorer gleiches. Auch wenn ich in beiden Fällen * verwende. Ich konnte noch nicht testen wie es mit dsget aussieht. Wird an einem XP Rechner dsget group "CN=<string>, OU=Gruppen, OU=UAbt, OU=Abt, DC=AAAA, DC=BBBB, DC=CCCC, DC=local" -memberof -expand -l > file.txt mir eine Liste der Gruppen mit verschachtelten Mitgliedschaften angeben? Und kann ich den Suchebegriff mit * einfassen? Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 19. August 2009 Melden Teilen Geschrieben 19. August 2009 Moin, mir ist nicht ganz klar, was du genau finden willst. Bitte erklär das noch mal genauer. Grundsätzlich kannst du sowohl in den Feldern "memberOf" als auch "member" suchen, dabei musst du aber den DN des Objekts angeben, also z.B. "CN=MeineGruppe,OU=Gruppen,DC=AD2008,DC=faq-o-matic,DC=net". Als generelle Empfehlung sollte man Gruppenmitgliedschaften nicht zu sehr verschachteln. Bei mehr als zwei Ebenen wird es sehr schnell unhandlich. Gruß, Nils Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 19. August 2009 Melden Teilen Geschrieben 19. August 2009 Servus, Wird an einem XP Rechnerdsget group "CN=<string>, OU=Gruppen, OU=UAbt, OU=Abt, DC=AAAA, DC=BBBB, DC=CCCC, DC=local" -memberof -expand -l > file.txt mir eine Liste der Gruppen mit verschachtelten Mitgliedschaften angeben? Und kann ich den Suchebegriff mit * einfassen? Mit dem Befehl "DSGET GROUP „CN=<Gruppenname>,CN=Users,DC=intra,DC=dikmenoglu,DC=de“ -members -expand" werden dir alle Mitglieder, samt den verschachtelten Mitgliedern der angegebenen Gruppe angezeigt. LDAP://Yusufs.Directory.Blog/ - Active Directory - Abfrage Und kann ich den Suchebegriff mit * einfassen? Nein, nicht bei DSGET. Zitieren Link zu diesem Kommentar
Bakemono 10 Geschrieben 19. August 2009 Autor Melden Teilen Geschrieben 19. August 2009 Bei Yusuf wurde ich nicht so fündig wie ich mir das Problem "denke". Aber da kann ich mich ja gedanklich verhaspelt haben. Ich versuch das mal hier aufzumalen. Personenkonten sind Mitglieder in Gruppen für Zugriffe auf Verzeichnisse der Abteilungen. Abt1 hat Gruppen für Zugriffe auf Verzeichnisse in Abt1 CN1.1, OU1, OU1, DC, DC... <Unterabteilung 1 in Abteilung 1> CN1.2, OU2, OU1, DC, DC... <Unterabteilung 2 in Abteilung 1> CN1.3, OU3, OU1, DC, DC... <Unterabteilung 3 in Abteilung 1> Abt2 hat Gruppen für Zugriffe auf Verzeichnisse in Abt2 CN2.1, OU1, OU2, DC, DC... <Unterabteilung 1 in Abteilung 2> CN2.2, OU2, OU2, DC, DC... CN2.3, OU3, OU2, DC, DC... CNx.y (globale Sicherheitsgruppe) regelt die Zugriffsrechte auf NTFS Ebene. Den Personenkonten sind nun die entsprechenden CNs zugewiesen. Nutzer1 ist Mitglied von CN2.2 und kann auf der Verzeichnis der UA2 in 2 zugreifen. Es gibt aber auch Fälle das zB CN2.2 ein "Mitglied von" CN1.3 ist. Für den Nutzer1 heisst das nun er kann auf das Verzeichnis Unterabteilung2 in Abteilung 2 zugreifen UND, durch Verschachtelung, auf UA1 in 3. Ich muss herausfinden in welchen Gruppen zB CN1.2 überall "Mitglied von" ist. Wenn ich mit dsget keinen Joker nutzen kann kann ich das auch händisch machen in dem ich jede Gruppe öffne und anschaue. Über die Suche auf der OU bekomme ich die entsprechende Antworten auch nicht. Wie ich auf der OU gesucht habe steht oben. Habe ich da einen falschen Parameter gewählt? Ich hoffe mein "Gedankengemälde" ist verständlich. Zitieren Link zu diesem Kommentar
NilsK 2.937 Geschrieben 19. August 2009 Melden Teilen Geschrieben 19. August 2009 Moin, die Information, die du suchst, steht im AD-Attribut tokenGroups. How to enumerate a user's security group membership using Visual Basic or Visual Basic Script Group Membership Tests Vielleicht kannst du das mit AdFind auch direkt machen, schau mal nach: joeware – never stop exploring… Blog Archive Does this excite anyone? AdFind V01.40.00 sneak peek… AdFind Im Übrigen ist dein Gruppenkonzept suboptimal. Besser wäre hier das A-G-DL-P-Prinzip, über das die Boardsuche dir einiges sagen sollte. Gruß, Nils Zitieren Link zu diesem Kommentar
Bakemono 10 Geschrieben 19. August 2009 Autor Melden Teilen Geschrieben 19. August 2009 Danke, der erste Artikel von MS ist schwerer Tobak, muss ich mich in Ruhe durcharbeiten. Beliebige Tools einzusetzen läßt das Sicherheitskonzept nicht zu. Ich werde mich mal durchs Internetlesen bis ich verstanden habe was hinter den tokengroups steckt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.