Skip to content
Close
Suche
CYBER SECURITY
WORKPLACE
NETWORK
DATA CENTER

Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT Services für den Mittelstand.

Zur Übersicht
CHECKS & AUDITS
CYBER SECURITY
INFRASTRUKTUR PROJEKTE
BERATUNG & KONZEPT
Verschaffen Sie sich einen Überblick über unsere branchenübergreifenden IT Services für den Mittelstand.
Zur Übersicht
HELPDESK & SUPPORT
KMU
IT-Services speziell für kleine und mittelständische Unternehmen.
IT SECURITY
NETZWERK
CLOUD
DATA CENTER
WORKPLACE & ENDGERÄTE

Verschaffen Sie sich einen Überblick über unsere IT-Services für den Mittelstand.

Zur Übersicht
Blog Menü Bild
Unser IT Blog
Bleiben Sie auf dem Laufenden und erhalten Sie regelmäßig neue Impulse zur Digitalen Transformation.
Zum Blog

ARBEITEN BEI MICHAEL WESSEL

Karriere_Stellenangebote
Jobs & Karriere
Aktuelle Stellenangebote
INFORMATIONEN & KONTAKT
Infotag
Deine Ausbildung bei uns
Jetzt informieren
Netzwerk
04.20151 min Lesezeit

AD-Cleanup: Der adminSDHolder

Im Rahmen der Active Directory-Administration (AD) kommt es immer wieder vor, dass Accounts nicht vom Servicedesk oder anderen technischen Mitarbeitern administriert werden können, obwohl der Account in einer "Organizational Unit" (OU) liegt, die durch den Administrator verwaltet werden kann. Die Ursache dafür ist häufig, dass diese Accounts einmal Mitglied der geschützten Gruppen waren (Domain Admins, Enterprise Admins, Account Operators, …) oder es noch sind.

Der adminSDHolder

Für diese Gruppen gibt es einen besonderen Sicherungsmechanismus, den sogenannten „adminSDHolder“. Dieser Mechanismus sorgt dafür, dass Accounts die direkt oder mittels Verschachtelungen Mitglied dieser Gruppen sind, eine Vererbungsunterbrechung erfahren. Für sie gelten die Berechtigungen, welche auf der OU „adminSDHolder“ hinterlegt wurden. Weiterhin wird für diese Accounts das AD-Attribut „adminCount“ auf „1“ gesetzt (auf diesem Wege kann man sie auch über eine LDAP-Query recht simpel identifizieren). Die OU „adminSDHolder“ enthält selbst keine Objekte, sondern dient einfach nur als Aufhänger für die Berechtigungssteuerung der geschützten Objekte (Pfad: \\my.domain\System\adminSDHolder).

Diese Zuordnung erfolgt automatisch und wird standardmäßig alle 60 Minuten überprüft. Dabei ist es egal wo der Account im AD liegt. Leider wird diese Zuordnung nicht aufgehoben, wenn man aus den entsprechenden Gruppen entfernt wird. Für diesen Zweck empfiehlt es sich einen Prozess zu schaffen oder eine Automatisierung bspw. mittels eines Scripts. Den Scriptansatz habe ich kürzlich einfach mal umgesetzt und als Scheduled Task etabliert.

Das Script setzt das Attribut “adminCount” zurück und stellt die Berechtigungsvererbung für sämtliche AD-Objekte (User, Gruppe) wieder her, die nicht mehr Mitglied der geschützten Gruppen sind und das Attribut „adminCount“ auf „1“ gesetzt haben. Anschließend lässt sich der Account wieder entsprechend den Berechtigungen der OU, in der er sich befindet, verwalten und wie jeder normale Account behandeln.

Anmerkung:

Derzeit ist das Script noch gegen ein versehentliches Schreiben geschützt. Für einen schreibenden Durchlauf bitte die Variable $just_logging auf $false setzen.

Weiterhin wird eine Logdatei geschrieben, derzeit im Ausführungspfad – sollte für Scheduled Tasks auf einen entsprechenden Ordner gesetzt werden. Dazu die Variable $logpath auf den entsprechenden Wert setzen.

Weiterführende Infos finden Sie hier.
avatar

Team von michael wessel

KOMMENTARE

VERWANDTE ARTIKEL