2008R264bit 10 Geschrieben 29. Juli 2022 Melden Teilen Geschrieben 29. Juli 2022 Hallo, ich möchte delegierte Rechte (Objektverwaltung zuweisen) im AD wieder entfernen. Vom Microsoft-Support wurde mir dsrevoke ans Herz gelegt. Grundsätzlich lässt sich die exe aufrufen, stürzt aber mit dem Parameter report oder remove ab. Wir haben es in drei verschiedenen Domänen getestet: immer Crash Dsrevoke /Report OU=aaa,DC=yyy,DC=xxx,DC=de Domäne\Konten-Operatoren Falls wir mit dsrevoke nicht weiterkommen, bräuchte ich ein Tool oder Befehl, mit dem ich von einer OU mit allen UnterOUs und Objekten die Rechte für die Konten-Operatoren entfernen kann. Danke im Voraus für Eure Unterstützung Zitieren Link zu diesem Kommentar
testperson 1.687 Geschrieben 29. Juli 2022 Melden Teilen Geschrieben 29. Juli 2022 Hi, eine Alternative wäre "dcacls". HTH Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 29. Juli 2022 Melden Teilen Geschrieben 29. Juli 2022 Fürs Reporting geht evtl. auch: https://github.com/canix1/ADACLScanner Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 29. Juli 2022 Autor Melden Teilen Geschrieben 29. Juli 2022 Danke für die schnellen Antworten. Reporting reicht leider nicht, ich muss die Rechte der Gruppe entfernen. dcacls schaue ich mir an. stürzt dsrevoke bei euch auch ab? Set objSdUtil = GetObject("LDAP://OU=xxxxxDC=de") Set objSD = objSdUtil.Get("ntSecurityDescriptor") Set objDACL = objSD.DiscretionaryACL For Each objACE in objDACL If objACE.Trustee = "Domäne\Konten-Operatoren" Then objDACL.RemoveAce objACE End If Next objSD.DiscretionaryAcl = objDacl objSDUtil.Put "ntSecurityDescriptor", Array(objSD) objSDUtil.SetInfo ---------------------------------- wenn ich dieses VBS ausführe erhalte ich immer einen Fehler, auch mit dem Domänenadmin Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 29. Juli 2022 Melden Teilen Geschrieben 29. Juli 2022 Moin, gemeint ist "dsacls", das hat einen Schalter, um die Berechtigungen für Objekte auf den Standard zurückzusetzen (also auf die Berechtigungen, die gemäß Objektklasse vorgesehen sind). Ob das zu deinem Szenario passt, weiß ich nicht. Sonst müsstest du mit den Einzelaktionen arbeiten, was aber hakelig ist. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.358 Geschrieben 29. Juli 2022 Melden Teilen Geschrieben 29. Juli 2022 vor 4 Stunden schrieb 2008R264bit: For Each objACE in objDACL If objACE.Trustee = "Domäne\Konten-Operatoren" Then Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen Zitieren Link zu diesem Kommentar
2008R264bit 10 Geschrieben 1. August 2022 Autor Melden Teilen Geschrieben 1. August 2022 Am 29.7.2022 um 19:27 schrieb daabm: Wenn ich raten muß, wurde diese ACE nicht explizit gesetzt, sondern vererbt - und dann kannst Du sie nicht entfernen, ohne vorher die Vererbung zu deaktivieren. Ist aber nur Glaskugel Ja, das kann gut sein. Konten-Operatoren haben von Anfang an schon diese Berechtigungen. BTW: Faszinierend - laut Screenshot passiert der Fehler in Zeile 13, Dein Code hat aber nur 11 Zeilen Ja, hat die 2 Leerzeilen gelöscht. Also Fehler bei objSDUtil.SetInfo. Ich glaube ich löse das Problem, indem ich die User aus den Konten-Operatoren entferne und über eine neue Gruppe die passenden Berechtigungen vergebe. Dann kann ich das auch in Zukunft anpassen. Danke für die Tips Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.940 Geschrieben 1. August 2022 Beste Lösung Melden Teilen Geschrieben 1. August 2022 Moin, wenn es tatsächlich um die Gruppe Konten-Operatoren geht und das nicht nur ein unglückliches Beispiel war - dann wäre es weit besser, die Gruppe Konten-Operatiren zu leeren und zu überwachen, dass sie immer leer ist. Diese Gruppe braucht seit Windows NT niemand mehr, dafür erzeugt sie erhebliche Risiken. Da sie durch die Vererbung aber immer wieder auftaucht, geht man das Problem besser an einer geeigneten Stelle an - nämlich indem man die Gruppe nicht verwendet und leer lässt (Letzteres kann man auch periodisch per Skript oder GPO erzwingen). Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.