Hallo zusammen,
heute bin ich per Zufall auf ein komisches Phänomen gestoßen.
Ich musste mit großem staunen feststellen, dass in meiner Win 2K3 R2 Domäne, ein normale "User" (lediglich Mitglied der Gruppe "Domänen-Benutzer"), mittels dem "Active Directory Explorer" von Microsoft, die Sicherheitseinstellungen andere User und Gruppen verändern kann.
So kann sich z.B. der User "Peter", die Berechtigung "senden als Linda" selbst erteilen.
Darauf hin habe ich dass gleiche in einer unabhängigen, relativ frisch aufgesetzten Windows Server 2008 R2 Domäne probiert, hier war das selbige möglich!!! Somit vermute ich, dass es eine Windows std. Konfiguration ist!?
Hat jemand von euch schonmal gleiches erlebt bzw. könnt Ihr das an eurem Activce-Directory nachvollziehen?
Dies ist bei uns natürlich überhaupt nicht erwünscht und ich möchte es schnellst möglich unterbinden, dass User die Sicherheitseinstellungen andere User veränder können, deshalb meine 2 fragen:
a) Wieso ist dies so?
Wie kann man die Domänen-ACLs entsprechend anpassen, sodass dies nicht mehr geht? (Best-Practice)
Ich werde heute abend, wenn ich zuhause bin nochmal meine Microsoft Bücher durchstöbern, ob ich dazu was finde, aber google konnte mir vorerst mal nicht helfen :-(
Schon einmal Danke im Voraus!
Gruß,
Simon
Im konkreten Fall sieht dass Beispielszenario wie folgt aus:
1. Ich öffne den AD Explorer und gebe folgende Benutzerdaten an:
Connect to: [Hostname des Domain-Controllers]
User: [Normalen Domänen-Benutzer]
Password: [PW des Domänen-Benutzers]
2. Ich hangel mich durch die OUs zu einem beliebigen CN.
3. Rechte maustaste auf den CN und "Properties"
4. Wecheseln der Registerkarte zu "Sicherheit"
5. Nun kann ich Gruppen- oder Benutzernamen löschen, bearbeiten und hinzufügen. Die Buttons "Hinzufügen" und "Entfernen" sind NICHT Ausgegraut!!!
