Active Directory Leserechte für Domain User entfernen

[tgyssling 11]

Hallo zusammen,
hab da mal wieder eine Frage bzw. Anliegen.
Standardmäßig haben ja die Domain User Leserechte auf die AD oder?
Ist dies zwingend Notwendig? Was passiert wenn ich das entferne und vor allem wie?

Hatte jemand zufällig schon einmal das gleiche anliegen und kann mir helfen?
 

danke
 

Gruß Thorsten

 

[tesso 375]

Aus welchem Grund willst du das Leserecht entfernen?

[NorbertFe 2.027]

Gegenfrage: Was stört dich am Default-Zustand?

 

Und ja, man kann sowas entfernen, nachdem man in einer Testumgebung festgestellt hat, dass alle Applikationen die derzeit im Einsatz sind damit kein Problem haben.

 

Bye

Norbert

[tgyssling 11]

Hi

danke für die Antworten. Dann mach ich mich mal weiter noch auf die Suche was bei uns alles nit funktionieren wird.

 

Gruß

Thorsten

 

[NilsK 2.930]

Moin,

 

sei dir bewusst, dass du dich damit schnell außerhalb der supporteten Konfiguration bewegst.

 

Ich hab sowas mal für eine Hochschule durchgespielt. Nur so als Orientierung: Das war ein Projekt mit 30 Manntagen und am Ende war nur eine Labor-Umgebung fertig. Und es funktionierte dort auch nur, weil KEIN Exchange im Einsatz war - ab Exchange 2010 kümmert sich Exchange nämlich nicht mehr, was an Zugriffsberechtigungen im AD konfiguriert ist.

 

[ice:2010 AD-Delegation – die Folien und Skripts | faq-o-matic.net]
http://www.faq-o-matic.net/2010/08/14/ice2010-ad-delegation-die-folien-und-skripts/

 

Gruß, Nils

[tgyssling 11]

Moin Nils

 

vielen Dank wird mir das mal ansehen und so weitergeben

Heist Exchange 2012 hätte schon extreme Probleme damit richtig?

bearbeitet 20. Juni 2013 von tgyssling

[NilsK 2.930]

Moin,

 

nein, Exchange 2010 hat keine Probleme damit, jedenfalls nicht pauschal. Aber umgekehrt: Exchange 2010 hält sich selbst nicht an die AD-Zugriffsrechte. Ein User, der im AD "nichts" sehen darf, ist in der Exchange-Adressliste usw. nicht eingeschränkt. Das liegt daran, dass Exchange mit einem Proxykonto aufs AD zugreift und einen separaten Mechanismus zur Steuerung verwendet. Wenn man also die Möglichkeiten des Users einschränken muss, muss man es (mindestens) zweimal tun - einmal im AD, einmal in Exchange.

 

Gruß, Nils

[tgyssling 11]

Achso OK

Danke für die ausführliche Erklärung.
Dann stell ich das alles mal zusammen und schau mir nochmals die Dateien von dir an.

 

[dmetzger 10]

Grundsätzlich ist die Konfiguration eines "locked-down Active Directory" mit entfernten "Authenticated Users" von Microsoft unterstützt. Microsoft referenziert dies z.B. in der Dokumentation zu Lync Server 2013.

 

Nils' Hinweis auf Exchange Server 2010 gilt es in Betrachtung zu ziehen. U.a. können Standardbenutzer in der Standardkonfiguration tatsächlich Verteiler- in Sicherheitsgruppen konvertieren. Exchange übernimmt diese Aufgabe freundlicherweise im erhöhten Kontext und sorgt dafür, dass sich die Admins vielleicht plötzlich damit auseinandersetzen müssen, dass ihre Benutzer in zu vielen Sicherheitsgruppen sind.

 

Es hat sich für Admins auch in hochsicheren Umgebungen bewährt, möglichst nahe am Standard zu arbeiten. Wenn es kritische Objekte in AD gibt, die Du vor Deinen Benutzern verbergen willst, kannst Du auch eine versteckte OU-Teilstruktur erstellen und die Objekte darin platzieren.

 

Ebenfalls zu bedenken ist die Option "Restore defaults" in den "Advanced Security Settings" von OUs und Domänen. Diese Option stellt ohne weitere Nachfrage die standardmässigen ACL wieder her, und all die liebevoll gepflegten zusätzlichen Einträge sind weg (inkl. Berechtigungen für Exchange) resp. die ggf. entfernten "Authenticated Users" wieder da. Wenn Du AD also hoch sicher machen möchtest, gibt es weit mehr anzufassen, wie Nils schon angemerkt hast ("Restricted Groups" fallen mir u.a. ein). Und es kann Dir niemand garantieren, dass Dir die Änderungen nicht irgendwann auf die Füsse fallen, weil Microsoft in seiner Road Map nicht Deine kundenspezifischen Anpassungen berücksichtigt hat. :D

[tgyssling 11]

Hi
danke für die vielen Antworten.
Eine abschlieeßende Frage habe ich noch, kann ich z.B, nur einzelne Informationen ausblenden wie z.B. Last login?
Wenn ja wie? wie sieht es dann mit dem Support von seiten MS aus?

danke

 

Gruß

Thorsten

[NilsK 2.930]

Moin,

 

ja, im AD kannst du Berechtigungen auch auf Attributebene verwalten. Aber sei dir bewusst, dass du damit die Komplexität drastisch erhöhst. Umfangreiches Testen und genaue Dokumentation sind unabdingbar.

 

Mit dem Support verhält es sich grob gesagt so: Nur wenige Szenarien sind explizit "unsupported". Microsoft wird aber die meisten Dinge, die man so konfigurieren kann, niemals getestet haben. Daher kann es dafür dann keinen definierten Support geben.

 

Gruß, Nils

[NorbertFe 2.027]

Außerdem wäre zu prüfen ob ein normaler User überhaupt Zugriff auf Last Login hat.

[tgyssling 11]

HI

Das mit dem Last Login war nur als Beispiel gedacht:)

danke für die weiteren Antworten, dann werde ich das mal so aufnehmen und schauen was raus kommt.
Gruß

Thorsten

bearbeitet 26. Juni 2013 von tgyssling