Teil 2 - Die AuswirkungenDer AdminSDHolder

Teil 3 - Anpassungen

Autor: olc, MCSEboard.de

 

Nun liegt es mit Kenntnis der Vorgehensweise des AdminSDHolders und dessen Template nahe, bei Bedarf das Template zu verändern. Hiervon ist im Normalfall abzuraten, da es schwerwiegende Funktionsstörungen innerhalb einer AD nach sich ziehen kann, wenn hier falsche Änderungen gemacht werden. Hier sollte man nur Hand anlegen, wenn man genau weiß, was man tut.

Im Kern gibt es für den Fall der Fälle verschiedene Möglichkeiten, das gewünschte ACL-Ziel für ein Benutzerobjekt zu erreichen:

  1. Man entfernt den Benutzer aus den geschützten Gruppen (Methode 1 in [1]).

  2. Man ändert das Recht „Allow inheritable permissions from the parent …“ auf den Standard-ACLs des System\AdminSDHolder Objekts derjenigen Benutzer und Gruppen, die vom AdminSDHolder geschützt werden (Methode 2 in [1]).
    Dieses Vorgehen sollte jedoch nach Möglichkeit nicht gewählt werden, da es bei versehentlichen Rechteänderungen auf dem übergeordneten Objekt zu massiven Funktionsstörungen in der AD kommen kann.

  3. Man fügt den betroffenen Benutzer in eine neu angelegte Sicherheitsgruppe ein und gibt  dieser Gruppe die entsprechenden Rechte auf dem AdminSDHolder Container.
    Dieses Vorgehen ist in den meisten Fällen zu empfehlen, sollte man die ACLs auf dem „AdminSDHolder“ Template tatsächlich ändern müssen.

Es gilt bei all diesen Möglichkeiten zu beachten, dass diese modifizierten ACLs auf alle Accounts angewendet werden, die vom AdminSDHolder geschützt werden.
Noch einmal also der gut gemeinte Rat, am besten die Finger davon zu lassen.

Weiterhin gibt es, wie in [1] beschrieben auch die Möglichkeit, bestimmte Gruppen aus den geschützten Gruppen zu entfernen. Dies ist jedoch nicht Teil des HowTos.

Ein Hinweis noch zum Schluss: nicht alle ACEs werden in „Active Directory User & Computer“ oder in ADSIEdit angezeigt (z.B. nicht „Change Password“ oder „Reset Password“). Dies lässt sich zwar erzwingen, jedoch ist das dafür notwendige Vorgehen ein Thema für ein anderes HowTo ;-). Es kann allerdings DSACLS verwendet werden, um die entsprechenden ACLs anzusehen bzw. zu bearbeiten, siehe [2].

Quellen:

[1] „Delegated permissions are not available and inheritance is automatically disabled”
 http://support.microsoft.com/default.aspx?scid=kb;EN-US;817433

[2] „Security tab of the AdminSDHolder object does not display all properties“
 http://support.microsoft.com/default.aspx?scid=kb;EN-US;301188

[3] WinMerge:
 http://winmerge.org/

[4] Windiff:
 http://support.microsoft.com/kb/159214/en-us

[5] “Modify the AdminSDHolder container”

 http://technet2.microsoft.com/windowsserver/en/library/0860a700-b9ed-4fbf-846d-af5af682688b1033.mspx

 

© MCSEboard.de, olc

Teil 2 - Die AuswirkungenDer AdminSDHolder