Landschaftsgest 10 Geschrieben 26. Januar 2010 Melden Teilen Geschrieben 26. Januar 2010 Hallo zusammen. Kurz: Im AD (W2K3SP2) die Gruppe Hauptbenutzer anlegen; SID der neu angelegten Gruppe auf S1-5-32-547 ändern und keine 1202-Events mehr haben! -> Möglich oder nicht? Wenn ja, mit welchem Tool? Lang: Die Gruppe Hauptbenutzer gibt es ja bekanntlicher Weise auf einem W2K3, der per dcpromo zum DC heraufgestuft wurde, nicht mehr. Nun habe ich eine AD-Umgebung, in der es zur "1202-ID SceCli - ein erweiterter Fehler ist aufgetreten" - Fehlermeldung kommt. Nach meiner Recherche liegt es wohl daran, dass genau diese Hauptbenutzer-Gruppe in den beiden Standard-Richtlinien vertreten ist. Der bzw. die DC´s können die *S-1-5-32-547 in den GPO´s natürlich nicht auflösen und spucken die 1202 aus. Sicherlich wäre es mir möglich, die Standardrichtlinien wieder herzustellen. Allerdings habe ich dies schon ein paar mal (auf anderen Systemen) gemacht und festgestellt, dass das unter Umständen ne Menge Arbeit ist. Die jetzige Umgebung ist "gewachsen" und beinhaltet viele Anpassungen in den Standard-Richtlinien, die dann wieder durchgeführt werden müssten. Auch könnte ich hergehen, und die Policies manuell "durchforsten" und die *S-1-5-32-547 entfernen. Da allerdings in den Standardrichtlinien auf quasi jeden Registry-Eintrag das Recht "Lesen" für diese Gruppe eingetragen ist, wäre das eine Beschäftigung bis zur Rente... Wer mag, kann ja auch mal versuchen, mir zu erklären, wie das überhaupt möglich ist, das diese "Well-Known-SID" in die Policies kommt, obwohl es sie eigentlich gar nicht mehr gibt?? Oder stehe ich völlig auf dem Schlauch? Habe ich totalen Mist geschrieben? :suspect: Hoffe, ich bekomme ne Möglichkeit, die Sache schnell zu bereinigen. :D THX Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 26. Januar 2010 Melden Teilen Geschrieben 26. Januar 2010 Hallo zusammen. Kurz: Im AD (W2K3SP2) die Gruppe Hauptbenutzer anlegen; SID der neu angelegten Gruppe auf S1-5-32-547 ändern und keine 1202-Events mehr haben! -> Möglich oder nicht? Wenn ja, mit welchem Tool? Mir ist kein Tool bekannt, mit dem man die SID manuell festlegen kann. Lang: Die Gruppe Hauptbenutzer gibt es ja bekanntlicher Weise auf einem W2K3, der per dcpromo zum DC heraufgestuft wurde, nicht mehr. Nun habe ich eine AD-Umgebung, in der es zur "1202-ID SceCli - ein erweiterter Fehler ist aufgetreten" - Fehlermeldung kommt. Nach meiner Recherche liegt es wohl daran, dass genau diese Hauptbenutzer-Gruppe in den beiden Standard-Richtlinien vertreten ist. Der bzw. die DC´s können die *S-1-5-32-547 in den GPO´s natürlich nicht auflösen und spucken die 1202 aus. Sicherlich wäre es mir möglich, die Standardrichtlinien wieder herzustellen. Allerdings habe ich dies schon ein paar mal (auf anderen Systemen) gemacht und festgestellt, dass das unter Umständen ne Menge Arbeit ist. Warum? Normalerweise relativ straight forward. Auch in großen Umgebungen. Hängt halt davon ab, wie man seine Struktur aufgebaut hat und was eventuell noch alles in den Default Policies definiert ist. Jedenfalls kein Problem. Die jetzige Umgebung ist "gewachsen" und beinhaltet viele Anpassungen in den Standard-Richtlinien, die dann wieder durchgeführt werden müssten. Eigentlich nicht. Du kannst auch einfach die Richtlinie kopieren und neu verlinken. Eine Arbeit von vielleicht 3 Minuten plus ein bisschen Gehirnschmalz vorher. ;) Wer mag, kann ja auch mal versuchen, mir zu erklären, wie das überhaupt möglich ist, das diese "Well-Known-SID" in die Policies kommt, obwohl es sie eigentlich gar nicht mehr gibt?? Man nehme GPMC auf einem Memberserver und editiere die Richtlinie von dort. Bye Norbert Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 27. Januar 2010 Autor Melden Teilen Geschrieben 27. Januar 2010 Hallo und Danke für die Antwort. Man nehme GPMC auf einem Memberserver und editiere die Richtlinie von dort. Und das Ganze "rückwärts" wird wohl nicht zum gewünschten Erfolg führen, oder? Habe leider momentan keinen Zugriff, sonst würde ich es mal probieren... Warum? Normalerweise relativ straight forward. Auch in großen Umgebungen. Hängt halt davon ab, wie man seine Struktur aufgebaut hat und was eventuell noch alles in den Default Policies definiert ist. Jedenfalls kein Problem. Ein Problem ist es nicht. Aber aufwendig alle mal... Ich adchte halt, dass es mittlerweile möglich ist, die SID zu ändern. Habe "so am Rande" was von der Powershell gehört. Betrifft aber wohl nur Computerkonten oder so... THX Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Und das Ganze "rückwärts" wird wohl nicht zum gewünschten Erfolg führen, oder? Was genau meinst du damit? Ein Problem ist es nicht. Aber aufwendig alle mal... Als überschaubar würde ich es einschätzen. Ich adchte halt, dass es mittlerweile möglich ist, die SID zu ändern. Habe "so am Rande" was von der Powershell gehört. Betrifft aber wohl nur Computerkonten oder so... Da ich nicht weiß, was du gehört hast, kann ich grad keinen Zusammenhang herstellen. Ja man kann bestimmte Sachen auch mit Powershell regeln. Ob das jetzt konkret zu deinem Problem paßt, weiß ich nicht. Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Hi, ich finde den gesamten Ansatz nicht unbedingt "sinnvoll". ;) Zuallererst würde ich die Default Policies nicht bearbeiten, wenn es nicht unbedingt notwendig ist. Das Problem würde nicht auftreten, wenn bei Euch nicht zusätzliche Einstellungen in die Standard Policies aufgenommen worden wären - denn dann ließe sich das auf die Clients filtern bzw. anders verlinken. D.h. ich würde hier umstrukturieren und die Policies entsprechend aufteilen. Warum müssen überhaupt Hauptbenutzer berechtigt werden? Das Thema ist immer wieder ein Renner unter dem Sicherheitsaspekt und sollte nach Möglichkeit vermieden werden - heißt, keine Hauptbenutzer einzusetzen. Der Fehler selbst ist nur "Makulatur", auch wenn es im Eventlog nicht gut aussieht und andere Varianten gefunden werden sollten. Ein konkretes Problem entsteht für die DCs daraus nicht, korrekt? SIDs können nicht geändert werden, auch nicht mit der PowerShell. Das wird sich sicherlich auch in Zukunft nicht verändern. Und wie Norbert schon sagte: Zu Deinem Problem paßt die Frage nicht wirklich. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 27. Januar 2010 Melden Teilen Geschrieben 27. Januar 2010 Hi, ich finde den gesamten Ansatz nicht unbedingt "sinnvoll". ;) Zuallererst würde ich die Default Policies nicht bearbeiten, wenn es nicht unbedingt notwendig ist. Korrekt. Deswegen muß er sie jetzt erstmal recovern. Und das ist eigentlich kein großer Aufwand, sondern reine Vorabüberlegung. ;) Warum müssen überhaupt Hauptbenutzer berechtigt werden? Das Thema ist immer wieder ein Renner unter dem Sicherheitsaspekt und sollte nach Möglichkeit vermieden werden - heißt, keine Hauptbenutzer einzusetzen. Zum Glück hat sich das Thema mit W7 ja erledigt. Mift jetzt hab ich doch glatt ein Argument gegen 7 geliefert. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 28. Januar 2010 Autor Melden Teilen Geschrieben 28. Januar 2010 Hi. Nichts für ungut, aber von euren Erläuterungen passt mitlerweile so einiges nicht mehr. Denn die Umgebung ist bei einem Kunden und wurde vorher durch einen anderen "Dienstleister" betreut. Ich wollt´s mir halt einfach machen, muss ich ja zugeben. ;) Dann werd ich mal los legen, und die Policies wiederherstellen. Cheers Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 28. Januar 2010 Melden Teilen Geschrieben 28. Januar 2010 Hi. Nichts für ungut, aber von euren Erläuterungen passt mitlerweile so einiges nicht mehr. Was genau paßt denn nicht? Oder paßt's dir nicht? ;) Denn die Umgebung ist bei einem Kunden und wurde vorher durch einen anderen "Dienstleister" betreut. Das ist meist so. Ich wollt´s mir halt einfach machen, muss ich ja zugeben. ;) Aha. ;) Dann werd ich mal los legen, und die Policies wiederherstellen. Viel Erfolg. Bei Fragen weißt du ja wo du uns findest. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.