AD-Sicherheit / Auflistung von Usern und Gruppenmitgliedschaften einschränken

[NorbertFe 2.104]

Da hat sich Nix geändert, aber ich brauche es zu selten um es definitiv zu sagen.

[testperson 1.729]

vor 11 Stunden schrieb wznutzer:

Fall das auch jemand bauen will. Ich habe mich dazu entschieden, die Rechte auf den OUs nicht zu entfernen (authentifizierte Benutzer), sondern stattdessen ein explizites verweigern zu setzen. Der einfache Grund ist, dass beim scripten mit dsacls es nicht möglich ist, einzelne Rechte zu entfernen. Es funktioniert so aber auch prima.

 

Wenn du dir bei neuen OUs das entfernen der Rechte sparen willst, kannst du das Schema entsprechend anpassen und dort die default Berechtigungen für neue OUs setzen: Active Directory: Controlling Object Visibility – List Object Mode | Microsoft Learn

 

bearbeitet 7. Januar von testperson

[daabm 1.375]

Wer List Object MOde verwendet und "manuell" administriert, der MUSS den DefaultSD von nahezu allem bearbeiten, sonst könnte man sich schon ersteres sparen

[wznutzer 35]

Am 17.1.2025 um 19:07 schrieb daabm:

Wer List Object MOde verwendet und "manuell" administriert, der MUSS den DefaultSD von nahezu allem bearbeiten, sonst könnte man sich schon ersteres sparen

Ich glaube ich würde es verstehen, wenn ich wüsste was der DefaultSD ist .

[cj_berlin 1.356]

vor 31 Minuten schrieb wznutzer:

Ich glaube ich würde es verstehen, wenn ich wüsste was der DefaultSD ist .

Das ist die ACL, die jedes Objekt von seiner Klasse im Schema mitgegeben bekommt, wenn es erstellt wird. Wenn Du dir ein neues Objekt anschaust und die Berechtigungen unter "Advanced" auflistest, dann gibt es halt Einträge, die nicht vererbt sind. Das sind diese  

[wznutzer 35]

vor 3 Stunden schrieb cj_berlin:

Das ist die ACL, die jedes Objekt von seiner Klasse im Schema mitgegeben bekommt,

Jetzt wird es hell. Der Default Security Descriptor .