snake99 13 Geschrieben 28. März 2022 Melden Teilen Geschrieben 28. März 2022 Hallo zusammen, ich habe heute etwas erleben müssen, was ich in etlichen Jahren IT noch nicht erlebt habe. Um kurz nach 16h meldete mir eine Userin, dass sie nicht mehr arbeiten könnte. Alle Office 365 Apps würden bei ihr nicht mehr funktionieren, weil sie sich nicht mehr anmelden könnte. Das System meldete, dass Benutzername oder Kennwort nicht bekannt seien. Was soll ich sagen ... das System hatte Recht. Die Userin ist im AD (DC Windows Server 2016 On-Premise) verschwunden! Da wir unsere User noch ins AzureAD wegen der Nutzung von Office 365 synchronisieren, konnte ich dort den Account unter "gelöschte Benutzer" wieder finden. Meine Frage: Kann sich jemand diesen Vorgang logisch erklären? Und hat jemand einen Tip, wo ich die Userin im On-premise AD wiederherstellen kann? Wir synchronisieren nur in eine Richtung (DCs --> AzureAD). Der Befehl "Get-ADObjects -Filter ObjectClass -eq "user" -IncludeDeletedObjects" hat keinen Treffer erzielt. Vielen Dank im voraus für eure Hilfe. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 28. März 2022 Melden Teilen Geschrieben 28. März 2022 (bearbeitet) Und kein ad Papierkorb aktiv? Dann wärs einfach. Und sowas passiert bspw., wenn das Sync-Kriterium nicht mehr stimmt. Dazu müsste man aber mehr über eure konfig wissen. edit: ach nein der Ist im ad gelöscht. Also wird wohl jemand gelöscht haben. Von allein passiert das jedenfalls nicht. bearbeitet 28. März 2022 von NorbertFe Zitieren Link zu diesem Kommentar
Beste Lösung snake99 13 Geschrieben 28. März 2022 Autor Beste Lösung Melden Teilen Geschrieben 28. März 2022 (bearbeitet) vor 20 Minuten schrieb NorbertFe: edit: ach nein der Ist im ad gelöscht. Also wird wohl jemand gelöscht haben. Von allein passiert das jedenfalls nicht. Das sowas von alleine nicht passieren kann, dachte ich auch ... ist aber passiert. Edit: Ich habe mittlerweile die Fehlerquelle finden können. Offensichtlich hat die DATEV Benutzerverwaltung etwas mit dem Vorfall zu tun. Sorry, dass ich in meinem Übereifer dafür sofort ein neues Thread aufgemacht habe. bearbeitet 28. März 2022 von snake99 Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. März 2022 Melden Teilen Geschrieben 29. März 2022 vor 10 Stunden schrieb snake99: ist aber passiert. Glaub ich nicht. ;) Zitieren Link zu diesem Kommentar
Damian 1.526 Geschrieben 29. März 2022 Melden Teilen Geschrieben 29. März 2022 Hi vor 12 Stunden schrieb snake99: Sorry, dass ich in meinem Übereifer dafür sofort ein neues Thread aufgemacht habe. Keine Entschuldigung nötig. Aber ein paar Detailinfos, wie und warum DATEV die Störung verursacht hat, könnten für andere Leser sicher hilfreich sein. VG Damian Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 29. März 2022 Melden Teilen Geschrieben 29. März 2022 Hi, vor 2 Stunden schrieb Damian: Aber ein paar Detailinfos, wie und warum DATEV die Störung verursacht hat, könnten für andere Leser sicher hilfreich sein. die DATEV Benutzerverwaltung bringt ein eigenes "IAM" mit. Wenn man da mit einem passend berechtigten User samt passender Rechte in DATEV einen "DATEV Benutzer" löscht, dann wird der auch im Active Directory gelöscht. By Design quasi. ;) Sinnvoll wäre vermutlich in der DATEV Benutzerverwaltung unter "Einstellung Benutzerverwaltung" -> "Windows Netz" den Haken "Nur Lesezugriff auf Windows Netz" zu setzen. Alternativ die Frage stellen, ob da jemand mit zu vielen Rechten im AD in DATEV administriert oder jemand mit zu vielen DATEV Rechten das AD verwalten kann. :) Gruß Jan 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. März 2022 Melden Teilen Geschrieben 29. März 2022 Also nix mit vor 14 Stunden schrieb snake99: von alleine ;) Zitieren Link zu diesem Kommentar
snake99 13 Geschrieben 29. März 2022 Autor Melden Teilen Geschrieben 29. März 2022 vor 41 Minuten schrieb testperson: die DATEV Benutzerverwaltung bringt ein eigenes "IAM" mit. Wenn man da mit einem passend berechtigten User samt passender Rechte in DATEV einen "DATEV Benutzer" löscht, dann wird der auch im Active Directory gelöscht. By Design quasi. ;) Genau das war die Ursache des Vorfalls. Mir ist neu, dass Microsoft es zulässt, dass die DATEV als Drittanbieter einfach mal AD Objekte löschen darf. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 29. März 2022 Melden Teilen Geschrieben 29. März 2022 Wieso sollte ms dagegen denn was haben? Du kannst auch mit anderen Tools im ad löschen. ;) Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 30. März 2022 Melden Teilen Geschrieben 30. März 2022 MS läßt da gar nichts zu, alles eine Frage der Delegation. Lieschen Müller kann das ganze AD löschen, wenn Du ihr die Rechte gibst (und zwar ohne Domain Admin). Und LDAP ist LDAP - habe ich die Rechte, kann ich löschen. BTW: adexplorer von Sysinternals zeigt auch "DeletedObjects" an (auch ohne Papierkorb), und adrestore (auch Sysinternals) könnte da Objekte auch recht einfach wieder herstellen, wenn auch mit nur sehr wenigen Attributen. Aber wenigstens die SID wäre dann wieder vorhanden. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.