Malzwei 10 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 Hallo, ich habe festgestellt, dass bei uns bei manchen Usern die Vererbung von ACL-Einstellungen ausgeschalten ist... (Benutzerprofil > Sicherheit > Erweiterte Sicherheitseinstellungen > Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen") Wie kann ich rausfinden, welche User das sind? Bei 2.500 Usern brauche ich eine automatische Abfrage mit z.B. dsget, oder so - aber ich finde nicht heraus, wie das Attribut heißt für das Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" Oder nat jemand eine andere Lösung? Danke & Grüße Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 18. März 2011 Melden Teilen Geschrieben 18. März 2011 Wie kann ich rausfinden, welche User das sind? Bei 2.500 Usern brauche ich eine automatische Abfrage mit z.B. dsget, oder so - aber ich finde nicht heraus, wie das Attribut heißt für das Häkchen: "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" Oder nat jemand eine andere Lösung? Danke & Grüße Delegated permissions are not available and inheritance is automatically disabled HTH Norbert PS: Ich meine das Skript im artikel ;) Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 25. März 2011 Melden Teilen Geschrieben 25. März 2011 Hallo, ein guter Kandidat als Grund für die ausgeschaltete Vererbung ist die (auch ehemalige) Mitgliedschaft in hoch privilegierten Gruppen (Admins, Kontenoperatoren, Server-Operatoren, Sicherungs-Operatoren). Daraufhin wirkt dann auf einmal die ACL vom adminSDHolder Objekt und die Vererbung ist ausgeschaltet... Gleichzeitig wird das Attribut "adminCount" auf 1 gesetzt, du könntest also einen Schnelltest starten, indem du User suchst mit folgendem LDAP-Filter: (&(objectClass=user)(objectCategory=person)(adminCount=1)) Eine genaue Prüfung nach solchen USerm mit einem schnellen LDAP-Filter geht leider nicht, denn das Häckchen für die Vererbung ist tief versteckt im Attribut nTSecurityDescriptor... Mit dem kostenlosen Tool LIZA kannst du relativ schnell die Rechte für Benutzerobjekte anschauen, aber eine automatische Suche nach "nicht vererbten" gibt es leider noch nicht. Wäre mal einen Idee für eine neue LIZA-Version (ich bin der Author dieses Tools): LIZA - Active Directory Analyse für Security, Berechtigungen und ACLs Gruß, Philipp Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 25. März 2011 Melden Teilen Geschrieben 25. März 2011 Mit dem kostenlosen Tool LIZA kannst du relativ schnell die Rechte für Benutzerobjekte anschauen, aber eine automatische Suche nach "nicht vererbten" gibt es leider noch nicht. Wäre mal einen Idee für eine neue LIZA-Version (ich bin der Author dieses Tools): Dann eventuell auch gleich einen "Standard"-wiederherstellen Knopf einbauen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.