Hallo zusammen,

heute bin ich per Zufall auf ein komisches Phänomen gestoßen.

Ich musste mit großem staunen feststellen, dass in meiner Win 2K3 R2 Domäne, ein normale "User" (lediglich Mitglied der Gruppe "Domänen-Benutzer"), mittels dem "Active Directory Explorer" von Microsoft, die Sicherheitseinstellungen andere User und Gruppen verändern kann.

So kann sich z.B. der User "Peter", die Berechtigung "senden als Linda" selbst erteilen.

Darauf hin habe ich dass gleiche in einer unabhängigen, relativ frisch aufgesetzten Windows Server 2008 R2 Domäne probiert, hier war das selbige möglich!!! Somit vermute ich, dass es eine Windows std. Konfiguration ist!?

Hat jemand von euch schonmal gleiches erlebt bzw. könnt Ihr das an eurem Activce-Directory nachvollziehen?

Dies ist bei uns natürlich überhaupt nicht erwünscht und ich möchte es schnellst möglich unterbinden, dass User die Sicherheitseinstellungen andere User veränder können, deshalb meine 2 fragen:

a) Wieso ist dies so?

Wie kann man die Domänen-ACLs entsprechend anpassen, sodass dies nicht mehr geht? (Best-Practice)

Ich werde heute abend, wenn ich zuhause bin nochmal meine Microsoft Bücher durchstöbern, ob ich dazu was finde, aber google konnte mir vorerst mal nicht helfen :-(

Schon einmal Danke im Voraus!

Gruß,

Simon

Im konkreten Fall sieht dass Beispielszenario wie folgt aus:

1. Ich öffne den AD Explorer und gebe folgende Benutzerdaten an:

Connect to: [Hostname des Domain-Controllers]

User: [Normalen Domänen-Benutzer]

Password: [PW des Domänen-Benutzers]

2. Ich hangel mich durch die OUs zu einem beliebigen CN.

3. Rechte maustaste auf den CN und "Properties"

4. Wecheseln der Registerkarte zu "Sicherheit"

5. Nun kann ich Gruppen- oder Benutzernamen löschen, bearbeiten und hinzufügen. Die Buttons "Hinzufügen" und "Entfernen" sind NICHT Ausgegraut!!!

Hallo du!

Ich war erstmal geschockt und habe das gleich bei uns ausprobiert. Ich bin zwar in der Gruppe Domänen-Admins, habe aber auch einen User für Testzwecke, der wie dein User nur in Domänen-Benutzer eingruppiert ist.

Mit AD Explorer bin ich mal davon ausgegangen, dass du ADSIedit.msc meintest. Hab das also auf meiner Windows 7 Professional 32bit mit installiertem RSAT gestartet, eine neue Verbindung hinzugefügt und unter Erweitert meinen normal-User eingetragen.

Habe dann diverse CNs unter diversen OUs gerechtsklickt und bei mir sind immer Hinzufügen und Entfernen ausgegraut und auch den Rest kann ich nicht bearbeiten.

Wie sieht das bei dir in deiner DCDC unter Sicherheit aus? Ist da irgendetwas abenteuerliches für "Jeder" oder "Authentifizierte Benutzer" zugelassen?

Beste Grüße

meilon

EDIT: Ah, mir ist grad eingefallen, dass du den ADExplorer von SysInternals meinen könntest und hab den mal gestartet. Kann somit das Phänomen bestätigen, ein Normaluser darf damit Änderungen durchführen und die werden sogar auch gespeichert (Gegenprüfung mit ADSIEdit gemacht)!

Ist also definitiv ein Bug in SysInternals' ADExplorer!

Bearbeitet 23. Februar 201115 j von meilon

Kann ich weder so noch so bestätigen.

Und mein Alltags-Account ist ohne jegliche Sonderberechtigung.

Ist also definitiv ein Bug in SysInternals' ADExplorer!

Der eigentliche Bug liegt dann aber im AD selbst, denn dieser müsste unabhängig vom verwendeten Programm die Berechtigung beim speichern nochmals überprüfen.