lindner 0 Geschrieben Donnerstag um 10:40 Melden Geschrieben Donnerstag um 10:40 Moin, ich verwende PingCastle, um unser Active Directory zu härten. Mir wird dort eine Situation genannt, bei der ich Unterstützung benötige. Die Meldung: "Presence of unknown account in delegation" (also in etwa Delegierungen eines unbekannten Accounts vorhanden) Mir wird dazu eine SID genannt, anhand derer ich ermitteln konnte, dass es sich hier um Berechtigungen einer Benutzergruppe handelt, die wir kürzlich entfernt haben. Die Benutzergruppe ist mittlerweile aus dem AD Papierkorb dauerhaft entfernt. Trotzdem scheinen die Berechtigungen noch zu existieren. Nun die Krux: Checke ich die entsprechenden OU's, werden mir die genannten Berechtigungen nicht angezeigt, da diese Gruppe ja nicht mehr existiert. Wie entferne ich nun diese Überbleibsel? Sie werden mir auch nicht angezeigt, wenn ich über die Powershell alle Berechtigungseinstellungen der entsprechenden OU anzeigen lasse. Ich bin ratlos - kann jemand helfen? Liebe Grüße, Jan Zitieren
NorbertFe 2.175 Geschrieben Donnerstag um 11:39 Melden Geschrieben Donnerstag um 11:39 vor 59 Minuten schrieb lindner: werden mir die genannten Berechtigungen nicht angezeigt, da diese Gruppe ja nicht mehr existiert. Dann steht aber im Allgemeinen die SID weiterhin drin. Zitieren
lindner 0 Geschrieben Donnerstag um 11:42 Autor Melden Geschrieben Donnerstag um 11:42 vor 1 Minute schrieb NorbertFe: Dann steht aber im Allgemeinen die SID weiterhin drin. Ja, das kenne ich auch so. Eine Idee, warum PingCastle da etwas feststellt, ich aber nichts sehen kann? Zitieren
NorbertFe 2.175 Geschrieben Donnerstag um 11:45 Melden Geschrieben Donnerstag um 11:45 Normalerweise sollte man das in PingCastle aber sehen können was genau ihm nicht paßt. Zitieren
lindner 0 Geschrieben Donnerstag um 11:51 Autor Melden Geschrieben Donnerstag um 11:51 vor 4 Minuten schrieb NorbertFe: Normalerweise sollte man das in PingCastle aber sehen können was genau ihm nicht paßt. Ja, das führt PingCastle auch aus. Es nennt mir die betreffende SID, die entsprechenden Rechte und die betreffende OU. Ich begreife nur nicht, wie PingCastle das sehen kann, ich aber nicht. Zapft denn PingCastle das AD anders an als z.B. die AD msc? Aber mal anders gefragt: Gibt es in der Powershell einen Befehl in der Art "Entferne alle Berechtigungen von SID XY auf OU soundso"? Zitieren
NorbertFe 2.175 Geschrieben Donnerstag um 12:01 Melden Geschrieben Donnerstag um 12:01 vor 10 Minuten schrieb lindner: Aber mal anders gefragt: Gibt es in der Powershell einen Befehl in der Art "Entferne alle Berechtigungen von SID XY auf OU soundso"? Powershell möglicherweise, aber ansonsten dsrevoke. Zitieren
lindner 0 Geschrieben Donnerstag um 12:43 Autor Melden Geschrieben Donnerstag um 12:43 vor 41 Minuten schrieb NorbertFe: Powershell möglicherweise, aber ansonsten dsrevoke. Das tool kannte ich noch nicht - ich probier's. Vielen Dank! Ach Mist, dsrevoke arbeitet nur mit Prinzipalnamen, nicht aber mit SID's :( Zitieren
NilsK 2.982 Geschrieben Donnerstag um 13:10 Melden Geschrieben Donnerstag um 13:10 Moin, dsacls (gehört zu den AD-Verwaltungstools) sollte auch SIDs entgegennehmen. Ich hab dein Szenario nicht geprüft, aber im Grundsatz sollte es damit gehen. Gruß, Nils Zitieren
lindner 0 Geschrieben Donnerstag um 13:37 Autor Melden Geschrieben Donnerstag um 13:37 vor 25 Minuten schrieb NilsK: Moin, dsacls (gehört zu den AD-Verwaltungstools) sollte auch SIDs entgegennehmen. Ich hab dein Szenario nicht geprüft, aber im Grundsatz sollte es damit gehen. Gruß, Nils Mir gelingt es, die betreffende Gruppe mit DSACLS anzuzeigen. Unter den dort aufgeführten Rechten ist jedoch meine geisterhafte SID wieder nicht dabei. Ich verzweifle... Zitieren
Sunny61 819 Geschrieben Donnerstag um 14:04 Melden Geschrieben Donnerstag um 14:04 Gibt es mehrere DCs? Falls ja, Replikation untereinder funktioniert einwandfrei? Zitieren
lindner 0 Geschrieben Donnerstag um 14:15 Autor Melden Geschrieben Donnerstag um 14:15 vor 10 Minuten schrieb Sunny61: Gibt es mehrere DCs? Falls ja, Replikation untereinder funktioniert einwandfrei? Nein, es ist nur ein DC. Zitieren
wznutzer 36 Geschrieben Donnerstag um 14:53 Melden Geschrieben Donnerstag um 14:53 (bearbeitet) vor 3 Stunden schrieb lindner: Eine Idee, warum PingCastle da etwas feststellt, ich aber nichts sehen kann? Du könntest Dir die Berechtigungen der OU mal mit ldp.exe anschauen. bearbeitet Donnerstag um 14:54 von wznutzer Schreibfehler... Zitieren
NorbertFe 2.175 Geschrieben Donnerstag um 15:04 Melden Geschrieben Donnerstag um 15:04 vor 3 Stunden schrieb lindner: Ja, das führt PingCastle auch aus. Es nennt mir die betreffende SID, die entsprechenden Rechte und die betreffende OU. Kannst du das ggf. mal anonymisiert hier zeigen? Zitieren
daabm 1.391 Geschrieben Donnerstag um 18:27 Melden Geschrieben Donnerstag um 18:27 vor 4 Stunden schrieb lindner: Nein, es ist nur ein DC. Könnte man gelegentlich mal ändern.. Ansonsten warte ich auf das, was @NorbertFe schon angefragt hat. Zitieren
lindner 0 Geschrieben Freitag um 06:33 Autor Melden Geschrieben Freitag um 06:33 vor 15 Stunden schrieb NorbertFe: Kannst du das ggf. mal anonymisiert hier zeigen? Screenshot anbei. vor 12 Stunden schrieb daabm: Könnte man gelegentlich mal ändern.. Ansonsten warte ich auf das, was @NorbertFe schon angefragt hat. Im November wechselt die Geschäftsführung. Dann wird das definitiv geändert Mit DSRevoke probiere ich derzeit noch herum, ist nicht gerade intuitiv das Teil... vor 15 Stunden schrieb wznutzer: Du könntest Dir die Berechtigungen der OU mal mit ldp.exe anschauen. Ah, das könnte vielleicht erklären, warum es zwei verschiedene Ergebnisse gibt, oder? Das versuche ich mal. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.