Frage zur Delegierung von Berechtigungen

[phatair 39]

Hallo zusammen,

 

ich habe mal wieder eine kurze Frage, da mir ein Punkte in der Delegierung von Berechtigungen in der AD nicht ganz klar ist. 

 

Wenn ich einer Gruppe unter "Benutzerdefinierte Aufgaben" den Bereich "Computer Objekte zuweise und die Haken setze bei "Gewählte Objekte in diesem Ordner erstellen / löschen" und unter Berechtigungen "Lesen" auswähle, hat die Gruppe anschließend auf alle Computer Objekte in der OU und den untergeordneten OUs die entsprechenden Rechte (es kann Lesen und Computer Objekte löschen und erstellen)

 

Wozu gibt es dann aber im Bereich "Berechtigungen" die Werte "Alle untergeordneten Objekte erstellen bzw. löschen". Mache ich die Schritte wie folgt

-> unter "Benutzerdefinierte Aufgaben" den Bereich "Computer Objekte zuweise und die Haken bei "Gewählte Objekte in diesem Ordner erstellen / löschen" nicht setzen und dann unter Berechtigungen "Lesen" + "Alle untergeordneten Objekte erstellen bzw. löschen" auswähle, hat die Gruppe anschließend auf alle Computer Objekte in der OU und den untergeordneten OUs die entsprechenden Rechte (es kann Lesen und Computer Objekte löschen und erstellen).

 

Der "Bereich" ist doch der Wert für den die Berechtigungen dann gelten? Also Bereich Computer gilt dann für alle Computer Objekte und mit den Berechtigungen sage ich dann, was genau mit diesen Computer Objekten gemacht werden darf.

 

Oder übersehe ich hier etwas? Was ist der Unterschied der beiden Optionen?

Vielen Dank.

[NilsK 2.930]

Moin,

 

der Unterschied ist: "gewählte Objekte" sind nur die Klassen, die du darüber ausgewählt hast. "Alle Objekte" sind alle Klassen, also Computer, Kontakte, User, crossRef, passwordSettingsObjects oder was immer dir einfällt.

 

Aber ein ganz dringender Rat: Verwalte die AD-Berechtigungen nicht* über das GUI. Und schon gar nicht über den Delegations-Assistenten. Mach sowas nur per Skript und teste es vorher in einem separierten Testlabor. Es gibt dafür ein Kommandozeilentool, das zwar gewöhnungsbedürftig ist, aber alles Wichtige kann. Eine kurze Einweisung findest du im zweiten Abschnitt in diesem Artikel:

 

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

 

Gruß, Nils

PS. genauer sollte hier stehen: NIE, NIE, NIE

[NorbertFe 2.027]

vor 10 Minuten schrieb NilsK:

PS. genauer sollte hier stehen: NIE, NIE, NIE

 

[phatair 39]

vor 9 Stunden schrieb NilsK:

Moin,

 

der Unterschied ist: "gewählte Objekte" sind nur die Klassen, die du darüber ausgewählt hast. "Alle Objekte" sind alle Klassen, also Computer, Kontakte, User, crossRef, passwordSettingsObjects oder was immer dir einfällt.

 

Aber ein ganz dringender Rat: Verwalte die AD-Berechtigungen nicht* über das GUI. Und schon gar nicht über den Delegations-Assistenten. Mach sowas nur per Skript und teste es vorher in einem separierten Testlabor. Es gibt dafür ein Kommandozeilentool, das zwar gewöhnungsbedürftig ist, aber alles Wichtige kann. Eine kurze Einweisung findest du im zweiten Abschnitt in diesem Artikel:

 

[AD-Adressen im Sekretariat bearbeiten lassen | faq-o-matic.net]
https://www.faq-o-matic.net/2008/06/23/ad-adressen-im-sekretariat-bearbeiten-lassen/

 

Gruß, Nils

PS. genauer sollte hier stehen: NIE, NIE, NIE

Danke Nils. 

Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll? 

 

Ich möchte nur eine Gruppe mit einem Service Account für die ou berechtigen, da dieser beim onboarding Prozess die computer Objekte dorthin verschieben können muss. 

Ich habe auch schon mit dem Assistenten Berechtigungen vergebe und danach geprüft. Die Berechtigungen waren korrekt gesetzt. 

 

In deinem verlinkten Artikel wird die Dokumentation und die Tests genannt, aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen. 

 

Klar kann man jetzt sagen, was spricht dagegen sich in die cli einzuarbeiten, ein Grund ist hier die fehlende Zeit und die Notwendigkeit, wenn es schon Möglichkeiten gibt die genau das tun was man möchte. 

 

Daher würde mich der Grund interessieren 

[NorbertFe 2.027]

vor 33 Minuten schrieb phatair:

Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll?

Sie ist unübersichtlich und langsam. Und nachdem du ok gedrückt hast findest du nie wieder raus, was du bestätigt hast.

vor 34 Minuten schrieb phatair:

aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen. 

Das ist dann dein Problem. Jeder muss offenbar aus seinen eigenen Fehlern lernen.

vor 35 Minuten schrieb phatair:

Daher würde mich der Grund interessieren 

Eigentlich interessiert er dich gar nicht. Du willst nur hören, dass du auch die gui nutzen kannst.

 

also hier für dich: benutze die gui, wenn dir das gefällt. ;)

[phatair 39]

Hi Norbert, 

hast du einen schlechten Tag gehabt oder warum reagierst du so negativ und sarkastisch? 

 

Nein, es ist mir nicht egal und ich frage nicht nach,  um zu hören, dass ich die gui nutzen soll. Verstehe überhaupt nicht wie du darauf kommst. Dann würde ich es einfach machen und nicht nach dem Grund fragen. Ich brauche doch nicht das ok von jemanden.

 

Ich habe erklärt, dass meine Berechtigungen minimal sind und es könnte ja sein, dass eure Meinung zu der Berechtigung vor allem auf große Änderungen in komplexen Umgebungen beruht. 

 

Aber gut. Lassen wir das Thema einfach. Ich habe manchmal echt das Gefühl, wenn man hier etwas nachfragt, dass sich einige Personen hier immer angegriffen fühlen und man Sie und ihre Antwort in Frage stellt. 

 

Das habe ich in keiner Weise getan und wollte einfach nur wissen warum eine Aussage so drastisch formuliert wurde (NIE die gui verwenden).

 

Habe es soweit verstanden. Danke. 

 

Gruß,

Steffen

bearbeitet 19. April 2023 von phatair

[Lian 2.421]

Bitte zurück zum Thema und keine persönlichen Angriffe - Danke.

 

@phatair: Der Grund und Zweck unserer Community ist anderen zu helfen, Du bist hier schon richtig.

 

Und in der Regel soll das auch mit Geduld und Muße geschehen. Bitte agiert danach.

 

[Sunny61 806]

@phatairSchau dir in diesem Link die Antwort von Steven Griffits an, das sollte dir helfen: https://social.technet.microsoft.com/Forums/Account/Login?ReturnUrl=https%3a%2f%2fsocial.technet.microsoft.com%3a443%2fforums%2fwindowsserver%2fen-US%2f34ce67fc-c9bb-41a5-894f-1dae7d60bda0%2fjoint-domain-without-domain-admin%3fforum%3dwinserversecurity%26prof%3drequired

[Lian 2.421]

Hi,

 

hast Du die URL ohne den Login- und Registrierungs-Part?

So ist es nicht öffentlich erreichbar

 

VG

[NilsK 2.930]

Moin,

 

die Gründe sind in meinem Artikel eigentlich schon recht umfassend aufgezählt. Wenn die dich nicht überzeugen, werde ich vermutlich hier auch nicht mehr viel tun können. So mag sich Norberts Reaktion erklären.

 

Das GUI ist sehr unübersichtlich - wie du ja selbst gemerkt hast, daher deine Frage hier - und verleitet zu falschen Annahmen. Der Assistent kann nur neu zuweisen und verschweigt die vorhandenen Berechtigungen. AD-Berechtigungen können aber sehr heikel sein - ruck-zuck hat man Dinge kaputt gemacht, die man mit dem GUI nicht mehr vernünftig repariert bekommt. Oder man hat Lücken aufgerissen, von denen nach zehn Minuten niemand mehr was weiß.

 

Ich gehöre zu den Menschen, die auch bei kurzen Fahrten den Gurt im Auto anlegen. Eine Bagatellgrenze gibt es für AD-Berechtigungen aus meiner Sicht - und aus meiner Erfahrung - nicht. Wenn du weder testen noch dokumentieren willst, musst du das selbst wissen. Ich habe den Anspruch, Leute in diesem Forum darauf hinzuweisen, wenn sie aus meiner Sicht etwas auf ungünstige Weise angehen.

 

Falls du doch Interesse haben solltest, empfehle ich neben dsacls-Skripten das Analyse-Tool LIZA:

 

[Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net]
https://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/

 

sowie zur umfassenden Analyse und Doku dies hier: 

 

[Berechtigungen in Active Directory dokumentieren | faq-o-matic.net]
https://www.faq-o-matic.net/2013/05/27/berechtigungen-in-active-directory-dokumentieren/

 

Gruß, Nils

 

[Sunny61 806]

vor 2 Stunden schrieb Lian:

hast Du die URL ohne den Login- und Registrierungs-Part?

So ist es nicht öffentlich erreichbar

Oja, Entschuldigung: https://social.technet.microsoft.com/Forums/windowsserver/en-US/34ce67fc-c9bb-41a5-894f-1dae7d60bda0/joint-domain-without-domain-admin?forum=winserversecurity

[Lian 2.421]

Danke 

[daabm 1.348]

vor 19 Stunden schrieb phatair:

Was genau ist der Grund, dass man die gui/ Assistent nicht verwenden soll? 

 

Kann man schon machen - mache sogar ich ab und zu, um schnell mal was auszuprobieren. Wenn es aber reproduzier- und nachvollziehbar sein soll (oder wie bei uns meistens sogar MUSS), dann ist ein Skript oder Befehlszeilenaufruf die bessere Variante. Die kann man irgendwo (revisionssicher) speichern und beliebig oft wiederholen. Und mit kleinen Anpassungen dann für ähnliche Aufgaben super schnell modifizieren - "code reuse"

[phatair 39]

Danke an alle.

 

Vielleicht hatte ich mich mit der Aussage "In deinem verlinkten Artikel wird die Dokumentation und die Tests genannt, aber das würde ich bei unseren minimalen Berechtigungen vernachlässigen." etwas schlecht ausgedrückt. Ich wollte damit keinesfalls sagen, dass es für mich sinnlos ist, sondern bei einer Berechtigung auf 1 OU (wie in unseren aktuellen Fällen) ich es persönlich nicht so gravierend finde. Sinn macht es natürlich schon, auch diese Berechtigungen zu dokumentieren, da gebe ich euch vollkommen Recht. 

Grundsätzlich bin ich für die Tipps und die Hilfe hier immer sehr dankbar. Alles können wir nicht 1:1 umsetzen, aber es hilft sehr Prozesse zu optimieren. 

 

Ich werde mir die Tools anschauen und eure Ratschläge zu Herzen nehmen. Gerade der Punkt "code reuse" ist auch sinnvoll, wenn man die Berechtigungen nicht so oft macht. Dann hat man einfach etwas vorgefertigtes, spart Zeit und reduziert Fehler.

 

Ich habe die Einwände also verstanden. Das nächste Mal versuche ich meine Nachfrage gezielter zu stellen, dann vermeiden wir hoffentlich die OT Diskussion 

 

Danke auch für die Info Links und das Tool Liza.