wznutzer 36 Geschrieben Freitag um 07:47 Melden Geschrieben Freitag um 07:47 vor 29 Minuten schrieb lindner: Ah, das könnte vielleicht erklären, warum es zwei verschiedene Ergebnisse gibt, oder? In Deinem Fall, weiß ich das nicht. Aber mal schauen, tut ja nicht weh. Zitieren
MurdocX 965 Geschrieben Freitag um 19:09 Melden Geschrieben Freitag um 19:09 Am 6.3.2025 um 15:53 schrieb wznutzer: Du könntest Dir die Berechtigungen der OU mal mit ldp.exe anschauen. Upvote ⬆️ Hier siehst du etwas mehr. Zitieren
lindner 0 Geschrieben Gestern um 12:30 Autor Melden Geschrieben Gestern um 12:30 Och Manno... Auch mit ldp.exe erhalte ich keine Informationen über meine ominöse SID. Ich habe es über die Features "Durchsuchen - Sicherheit - Sicherheitsbeschreibung" und "Durchsuchen - Sicherheit - Benutzerrechte" probiert. Dort kann ich dann die erwarteten Einstellungen, die ich aus der AD-Verwaltung kenne, sehen. Gibt es dort noch weitere hilfreiche Features, die ich übersehen habe? Mit DSrevoke komme ich ebenfalls nícht weiter - das Tool zeigt mir einfach überhaupt kein Output an. Ich erhalte Fehlermeldungen, wenn ich den Befehl falsch eingebe, aber kein Output, wenn ich ihn richtig eingebe *confused*. Speichert das Programm den Report an eine Stelle, die ich nicht kenne? Ich hatte zwischenzeitlich eine Idee: Ich habe zum Testen den DC mal aus der Datensicherung von vor einem Monat geladen (als VM-Kopie). Führe ich Pingcastle dort aus, erhalte ich die Beanstandungen nicht. Irgendwas hat sich zwischenzeitlich also geändert. Ist es möglich, das AD aus dieser Maschine zu exportieren und in meinen "richtigen" DC wieder zu importieren? Geht das A) technisch und B) lässt es Dinge wie z.B. Vertrauensstellungen intakt? Zitieren
wznutzer 36 Geschrieben Gestern um 13:42 Melden Geschrieben Gestern um 13:42 vor einer Stunde schrieb lindner: Gibt es dort noch weitere hilfreiche Features, die ich übersehen habe? Ich hätte ein wenig anders geschaut . ldp.exe starten Binden => OK Ansicht => Struktur ==> als Basis DN deine Domäne dann links zur OU navigieren rechte Maustaste ==> schwer (heißt beim deutschen OS so) ==> Sicherheitsbeschreibung Zitieren
NilsK 2.982 Geschrieben Gestern um 13:47 Melden Geschrieben Gestern um 13:47 Moin, vor 43 Minuten schrieb lindner: Auch mit ldp.exe erhalte ich keine Informationen über meine ominöse SID. das heißt, der Berechtigungseintrag wird dir nicht angezeigt? Oder was meinst du genau? Wenn die einzige Fundstelle der PingCastle-Report ist, dann könnte da ja auch irgendwas falsch sein. Gruß, Nils Zitieren
lindner 0 Geschrieben Gestern um 14:09 Autor Melden Geschrieben Gestern um 14:09 (bearbeitet) vor 27 Minuten schrieb NilsK: Moin, das heißt, der Berechtigungseintrag wird dir nicht angezeigt? Oder was meinst du genau? Wenn die einzige Fundstelle der PingCastle-Report ist, dann könnte da ja auch irgendwas falsch sein. Gruß, Nils Die Berechtigungseinträge der OUs werden mir angezeigt, aber keiner, in der meine gesuchte SID vorkommt. Wenn Pingcastle nun irgendeine Fantasie-SID anzeigen würde, würde ich auch an einen Bug denken. Aber da mir ja hier genau jene kürzlich gelöschte SID angezeigt. Das ist schon auffällig. (Edit: Außerdem ist dies noch nicht der Fall, wenn ich in der VM aus der Datensicherung von vor einem Monat Pingcastle durchlaufen lasse. Es muss also am AD liegen) Mich wundert nur einfach, wie Pingcastle das wissen kann, denn ich sehe diese SID ja auch nirgendwo. vor 32 Minuten schrieb wznutzer: Ich hätte ein wenig anders geschaut . ldp.exe starten Binden => OK Ansicht => Struktur ==> als Basis DN deine Domäne dann links zur OU navigieren rechte Maustaste ==> schwer (heißt beim deutschen OS so) ==> Sicherheitsbeschreibung "Schwer"?! Was ist denn das für eine Übersetzung Habe es gerade probiert - es führt zu dem gleichen Ergebnis, wie über den Menü-Weg, den ich vorher beschrieb. bearbeitet Gestern um 14:15 von lindner Zitieren
NorbertFe 2.175 Geschrieben Gestern um 14:22 Melden Geschrieben Gestern um 14:22 vor 12 Minuten schrieb lindner: "Schwer"?! Was ist denn das für eine Übersetzung LDP ist ein gutes Beispiel wie man es quasi unmöglich macht mit einer lokalisierten Applikation zu hantieren ;) Zitieren
NilsK 2.982 Geschrieben Gestern um 14:24 Melden Geschrieben Gestern um 14:24 Moin, die Frage ist, welches Problem du überhaupt zu lösen versuchst. Möglicherweise gibt es einen verwaisten Berechtigungseintrag, zu dem der SID nicht mehr auflösbar ist - dann stellt das eher ein theoretisches Problem dar, denn der zugehörige Account existiert nicht. Es gibt also kein höheres Angriffspotenzial als bei jedem anderen Berechtigungseintrag, im Gegenteil - mit dem Account kann sich ja niemand anmelden. Vielleicht arbeitet PingCastle aber auch irgendwie fehlerhaft. Denn aktuell scheint ja nur PingCastle "das Problem" anzuzeigen. Solange es kein weiteres Problem gibt, das damit im Zusammenhang stehen könnte, würde ich mir jetzt überlegen, wie viel Energie ich an welcher Stelle noch investiere. Gruß, Nils Zitieren
lindner 0 Geschrieben Gestern um 14:25 Autor Melden Geschrieben Gestern um 14:25 vor 1 Minute schrieb NilsK: Moin, die Frage ist, welches Problem du überhaupt zu lösen versuchst. Möglicherweise gibt es einen verwaisten Berechtigungseintrag, zu dem der SID nicht mehr auflösbar ist - dann stellt das eher ein theoretisches Problem dar, denn der zugehörige Account existiert nicht. Es gibt also kein höheres Angriffspotenzial als bei jedem anderen Berechtigungseintrag, im Gegenteil - mit dem Account kann sich ja niemand anmelden. Vielleicht arbeitet PingCastle aber auch irgendwie fehlerhaft. Denn aktuell scheint ja nur PingCastle "das Problem" anzuzeigen. Solange es kein weiteres Problem gibt, das damit im Zusammenhang stehen könnte, würde ich mir jetzt überlegen, wie viel Energie ich an welcher Stelle noch investiere. Gruß, Nils Hm, da magst Du Recht haben. Ist halt nur nervig, da PingCastle in der Kategorie ganz schön viele Minuspunkte vergibt :/ Wenn es meine OCD nun gar nicht mehr hergibt, das "Problem" zu ignorieren, wäre mein Ansatz mit dem Ex- und Import des ADs durchführbar? Zitieren
NilsK 2.982 Geschrieben Gestern um 14:27 Melden Geschrieben Gestern um 14:27 Moin, Gerade eben schrieb lindner: Ist halt nur nervig, da PingCastle in der Kategorie ganz schön viele Minuspunkte vergibt :/ naja ... das ist am Ende Gutdünken des Entwicklers. In den Einzelbewertungen hab ich da eine ganze Menge Kritikpunkte. Aber man muss das Tool ja auch nicht als unfehlbare Quelle der Wahrheit ansehen. Gruß, Nils Zitieren
Sunny61 819 Geschrieben Gestern um 14:37 Melden Geschrieben Gestern um 14:37 Ist das denn die aktuellste Version von PingCastle? Du könntes ja auch eine Beschreibung erstellen und PingCastle dazu fragen was sie dazu meinen. Zitieren
lindner 0 Geschrieben Gestern um 14:50 Autor Melden Geschrieben Gestern um 14:50 vor 12 Minuten schrieb Sunny61: Ist das denn die aktuellste Version von PingCastle? Du könntes ja auch eine Beschreibung erstellen und PingCastle dazu fragen was sie dazu meinen. Ja, ist aktuell. In der alten Version des AD's mit der gleichen version von Pingcastle erhalte ich dahingehend auch keine Meldung. Das kann eigentlich kein Bug sein :/ Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.