none
Massive Probleme mit Vererbung von Berechtigungen in AD unter Windows Server 2008 RRS feed

  • Frage

  • Hallo Forum :-),

    Dies ist nun das 3. Forum an das ich mich wende und ich hoffe, dass hier jemand eine Lösung für mein Problem weiß.


    Bearbeite zurzeit das Buch "Konfigurieren von Windows Server 2008 Active Directory 70-640".
    Bin zurzeit am Ende des 2. Kapitels. In diesem Kapitel geht es, grob gesagt, um das Anlegen von Benutzern, Gruppen und Computern im Snap-In "Active-Directory-Benutzer und -Computer". Zudem erste Schritte mit Berechtigungen, Vererbung von Berechtigungen usw..

    Wie gesagt, das Kapitel ist quasi abgeschlossen und ich mache hier nur noch die praktischen Übungen, die hier gefordert werden.

    1. Übung: Melden Sie sich als Barbara Mayer an SERVER01 an. Sie ist ein Mitglied der Helpdeskgruppe. Überprüfen Sie, ob sie außer ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie anschließend, das Kennwort für ein Benutzerkonto in der OU "Administratoren" zu ändern. Überprüfen Sie die Ergebnisse.
    Also ... Barbara Mayer gehört der Gruppe "Helpdesk" an. Die Gruppe Helpdesk hat auf die OU "Personal" die Berechtigung Kennwörter zurückzusetzen.
    Wie erwartet fiel auch das Ergebnis aus. Barbara Mayer kann die Kennwörter einzelner Mitglieder der OU "Personal" zurücksetzen, die der OU "Administratoren" jedoch nicht.

    Das klappt bis hierhin also so wie es soll.

     

    Jetzt kommt die 2. Aufgabe:

    2. Übung: Melden Sie sich als Administrator an SERVER01 an. Erstellen Sie in der OU "Personal" eine neue OU namens "Zweigniederlassung". Vergewissern Sie sich beim Erstellen der OU "Zweigniederlassung", dass die Option "Container vor zufälliger Löschung schützen" ausgewählt ist. Öffnen Sie die DACL des Benutzerobjekts im Dialogfeld "Erweiterte Sicherheitseinstellungen". Beachten Sie die dem Helpdeskteam zugewiesenen Berechtigungen. Sind sie explizit oder vererbt? Wenn die Berechtigungen vererbt wurden, woher wurden sie vererbt? Öffnen Sie die DACL der OU "Zweigniederlassung" im Dialogfeld "Erweiterte Sicherheiteinstellungen". Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen."

    Melden Sie sich ab, und melden Sie sich als Barbara Mayer wieder an. Überprüfen Sie, ob sie ausser ihrem eigenen auch die Kennwörter anderer Benutzer in der OU "Personal" zurücksetzen kann. Versuchen Sie nun, das Kennwort des Benutzers in der OU "Zweigniederlassung" zurückzusetzen.


    Hierbei passiert folgendes: Die Berechtigungen wurden aus der übergeordneten OU "Personal" vererbt. So wie es sein soll.

    Dann tu ich das was das Buch mir vorschreibt, nämlich "Deaktivieren Sie die Option "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" auf die OU Zweigniederlassung.

    Daraufhin erscheint eine kurze Abfrage, die im Buch nicht erwähnt und nicht erklärt wird. Nämlich:

    Wenn Sie diese Option wählen, werden die Berechtigungseinträge des übergeordneten Elements nicht mehr auf dieses Objekt angewendet.

    - Klicken Sie auf "Kopieren" um Berechtigungseinträge, die vom übergeordneten Objekt für dieses Objekt übernommen wurden zu kopieren.

    - Klicken Sie auf "Entfernen" um die Berechtigungseinträge, die vom übergeordneten Objekt übernommen wurden, zu entfernen und nur die hier definierten Berechtigungen zu behalten.

     

    Ob ich hier nun "Entfernen" oder "Kopieren" wähle, das Ergebnis ist das selbe: Ich kann weder in der Haupt-OU "Personal" noch in der Unter-OU "Zweigstelle" Kennwörter zurücksetzen, aufgrund fehlender Berechtigung. Indem ich die Vererbung ausgeschaltet habe, sollte es ja auch so sein, dass ich in der Unter-OU "Zweigstelle" keine Kennwörter mehr zurücksetzen kann. Aber komischerweise funktioniert das dann auch nicht mehr in der OU "Personal", obwohl die Berechtigung der Gruppe "Helpdesk" es eindeutig erlaubt. 



    Ich häng jetzt seit Wochen an diesem Problem fest und scheinbar hat niemand eine Antwort auf dieses Phänomen, ausser der Antwort: "Bei mir gehts" :-D.

    Bei mir gehts aber leider nicht und ich möchte unbedingt rausfinden wieso!! Denn schon im 2. Kapitel einfach weiter machen obwohl es noch irgendwie hakt, ist sicher nicht Sinn der Sache.


    Hat jemand eine Ahnung woran es liegen könnte? Oder hat jemand des selbe Buch und hat das ganze schonmal durchgespielt?

    Montag, 14. November 2011 11:54

Antworten

  • Hi,

    vielen Dank für eure Antworten.

    Also bei mir ist es definitiv so, dass ich nach dem Entfernen des Vererbungs-Häkchens auch in der oberen OU keine Passwörter mehr zurücksetzen kann. Als Fehlermeldung erhalte ich nur, dass der Zugriff verweigert wurde. Zudem kann ich in der "Kennwort-zurücksetz-Maske" keinen Haken mehr bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen ... der ist ausgegraut.


    Habe grade mal folgendes eingegeben: "dsacls "ou=Personal,dc=contoso,dc=com"
    Als Ergebnis wird mir bei der Helpdesk-Gruppe angezeigt:

    Zulassen CONTOSO\Helpdesk    Beschränkter Zugriff für pwdLastSet
                                                       Eigenschaft schreiben
                                                       Eigenschaft lesen

    Zulassen CONTOSO\Helpdesk   Reset Password


    Wenn ich "dsacls "ou=Zweigniederlassung,ou=Personal,dc=contoso,dc=com"" eingebe (ich hoffe das ist so richtig), ist zu sehen, dass dort keine Helpdesk-Gruppe aufgeführt wird.

     

     

    Aber scheinbar mache ich irgendwas falsch. Ich schreibe hier einfach mal kurz in Stichpunkten die Vorgehensweise von Anfang bis zum Ende:

    • AD DS (contoso.com) installiert
    • Benutzerdefinierte MMC konfiguriert und diese als "MeineKonsole.mmc" auf dem Desktop gespeichert
    • OU "Personal (nicht administrative Benutzeridentitäten)" angelegt
    • OU "Clients (Clientcomputer)" angelegt
    • OU "Gruppen (nicht administrative Gruppen)" angelegt
    • OU "Administratoren (Administrative Identitäten und Gruppen)" angelegt
    • OU "Server (Server)" angelegt
    • In der OU "Personal" folgende Benutzer angelegt: Dan Holme (dholme), James Fine (jfine), Barbara Mayer (bmayer), Barbara Moreland (bmoreland), Max Mustermann (mmustermann) inkl. Kennwörter und der Option bei der ersten Anmeldung muss das Kennwort geändert werden.
    • In der OU "Administratoren" folgenden Benutzer angelegt: Max Mustermann (mmustermann_admin), inkl. Kennwort
    • In der OU "Server" folgende Computer erstellt: FILESERVER01, SHAREPOINT02, EXCHANGE03
    • In der OU "Clients" folgende Computer erstellt: DESKTOP101, DESKTOP102, LAPTOP103
    • In der OU "Gruppen" folgende Gruppen erstellt: Finanzabteilung (Sicherheit, Global), Leitende Angestellte der Finanzabteilung (Sicherheit, Global), Vertrieb (Sicherheit, Global), APP_Office 2007 (Sicherheit, Global)
    • In der OU "Administratoren" folgende Gruppen erstellt: Helpdesk, Windows-Administratoren
    • Benutzer "mmustermann_admin" in der OU "Administratoren" unter "Mitglied von" der Gruppe "Domänen-Admins" hinzugefügt
    • Der Gruppe "Helpdesk" in der OU "Administratoren" über die Registerkarte "Mitglieder" Barbara Mayer (bmayer) hinzugefügt
    • Rechte Maustaste auf OU "Personal" und dann "Objektverwaltung zuweisen" -> Hinzufügen -> Helpdesk -> Weiter -> Option "Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung" angeklickt -> Weiter -> Fertigstellen


    So wurde dies alles eingerichtet. Wenn cih mich nun als "bmayer" einlogge und über die Verwaltung "Active Directory-Benutzer und -Computer" öffne, kann ich die Kennwörter der Benutzer der Gruppe "Personal" zurücksetzen.

    Bis hierhin alles wunderbar!!!


    Jetzt erstelle ich IN DER OU "Personal" eine OU "Zweigniederlassung". In der OU "Zweigniederlassung" erstelle ich einen Benutzer "Michael Müller (mmueller)". Die Kontrolle zeigt, dass die Helpdesk-Berechtigungen vererbt wurden.

    Logge ich mich nun wieder als bmayer ein, kann ich immer noch die Kennwörter der OU "Personal" zurücksetzen und, aufgrund der Vererbung, auch das Kennwort von "mmueller" aus der OU "Zweigniederlassung".


    Melde ich mich jetzt jedoch wieder als Admin an und klicke mit der rechten Maustaste auf die OU "Zweigniederlassung" -> Sicheriet -> und mache dann den Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" raus, erhalten ich diese Meldung mit "Kopieren und Entfernen" (siehe oben). Da dies im Buch überhaupt nicht erwähnt wird, bin ich nicht so ganz sicher was das bedeutet.

    Jedenfalls klicke ich hier auf "Kopieren" und dann auf OK. Nun kontrolliere ich die Helpdest-Berechtigung sowohl beim User mmueller, als auch bei der ou "Zweigniederlassung" und der ou "Personal". Alles noch genauso wie zuvor. Die Haken sind da wo sie sein sollen. Ein Test mit bmayer zeigt, dass ich tatsächlich auch noch alle Kennwörter zurücksetzen kann, sowohl unter "Personal" als auch unter "Zweigniederlassung".

    Nun gehe ich als Admin nochmal in die OU "Zweigniederlassung" -> Eigenschaften -> Sicherheit -> Erweiterte Sicherheitseinstellungen und mache dort die Haken bei "Kennwort zurücksetzen" und bei "pwdLastSet lesen" und "pwdLastSet schreiben" raus. Damit sind die Berechtigungseinträge für "Helpdesk" auch komplett aus der Liste verschwunden.


    ....

    So, und jetzt hab ich SOOOO viel geschrieben und jetzt wirds komisch! Plötzlich funktioniert es so wie ich es immer wollte :-D.
    Ich hab alles nochmal neu gemacht, zum 5. mal. 4 mal hat es nicht geklappt, diesmal schon. Ich wüsste nur zu gern warum.


    Das einzige was ich diesmal anders gemacht habe als sonst, ist, dass ich unter bmayer die vom Admin erstellte benutzerdefinierte MMC verwendet habe und nicht wie sonst einfach "Active Directory Benutzer und -Computer" unter "Verwaltung".


    Kann das sein, dass genau DAS der Fehler war???

    Montag, 14. November 2011 22:30

Alle Antworten

  • > Ob ich hier nun "Entfernen" oder "Kopieren" wähle, das Ergebnis ist das
    > selbe: Ich kann weder in der Haupt-OU "Personal" noch in der Unter-OU
    > "Zweigstelle" Kennwörter zurücksetzen, aufgrund fehlender Berechtigung.
     
    Da lehne ich mich mal etwas aus dem Fenster: Das KANN nicht sein.
    Vererbung geht immer nur nach unten, nie nach oben.
     
    Solange Du nicht direkt an "Personal" Rechte änderst, geht das
    weiterhin. Bist Du sicher, daß Du hier die richtigen OUs ausgewählt hast?
     
    > zurücksetzen kann. Aber komischerweise funktioniert das dann auch nicht
    > mehr in der OU "Personal", obwohl die Berechtigung der Gruppe "Helpdesk"
     
    Irgendeine Fehlermeldung?
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Montag, 14. November 2011 16:56
  • Hallo,

    eine Vererbung in die andere Richtung habe ich auch noch nicht gesehen.

    Zeig uns doch bitte einmal die Berechtigungen mit dsacls:

    http://ss64.com/nt/dsacls.html

     

    Ohne Angabe von speziellen Parametern sollte (kann es jetzt nicht testen) dir die Berechtigungen angzeigt werden.

     


    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Montag, 14. November 2011 18:24
  • Hi,

    vielen Dank für eure Antworten.

    Also bei mir ist es definitiv so, dass ich nach dem Entfernen des Vererbungs-Häkchens auch in der oberen OU keine Passwörter mehr zurücksetzen kann. Als Fehlermeldung erhalte ich nur, dass der Zugriff verweigert wurde. Zudem kann ich in der "Kennwort-zurücksetz-Maske" keinen Haken mehr bei "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" setzen ... der ist ausgegraut.


    Habe grade mal folgendes eingegeben: "dsacls "ou=Personal,dc=contoso,dc=com"
    Als Ergebnis wird mir bei der Helpdesk-Gruppe angezeigt:

    Zulassen CONTOSO\Helpdesk    Beschränkter Zugriff für pwdLastSet
                                                       Eigenschaft schreiben
                                                       Eigenschaft lesen

    Zulassen CONTOSO\Helpdesk   Reset Password


    Wenn ich "dsacls "ou=Zweigniederlassung,ou=Personal,dc=contoso,dc=com"" eingebe (ich hoffe das ist so richtig), ist zu sehen, dass dort keine Helpdesk-Gruppe aufgeführt wird.

     

     

    Aber scheinbar mache ich irgendwas falsch. Ich schreibe hier einfach mal kurz in Stichpunkten die Vorgehensweise von Anfang bis zum Ende:

    • AD DS (contoso.com) installiert
    • Benutzerdefinierte MMC konfiguriert und diese als "MeineKonsole.mmc" auf dem Desktop gespeichert
    • OU "Personal (nicht administrative Benutzeridentitäten)" angelegt
    • OU "Clients (Clientcomputer)" angelegt
    • OU "Gruppen (nicht administrative Gruppen)" angelegt
    • OU "Administratoren (Administrative Identitäten und Gruppen)" angelegt
    • OU "Server (Server)" angelegt
    • In der OU "Personal" folgende Benutzer angelegt: Dan Holme (dholme), James Fine (jfine), Barbara Mayer (bmayer), Barbara Moreland (bmoreland), Max Mustermann (mmustermann) inkl. Kennwörter und der Option bei der ersten Anmeldung muss das Kennwort geändert werden.
    • In der OU "Administratoren" folgenden Benutzer angelegt: Max Mustermann (mmustermann_admin), inkl. Kennwort
    • In der OU "Server" folgende Computer erstellt: FILESERVER01, SHAREPOINT02, EXCHANGE03
    • In der OU "Clients" folgende Computer erstellt: DESKTOP101, DESKTOP102, LAPTOP103
    • In der OU "Gruppen" folgende Gruppen erstellt: Finanzabteilung (Sicherheit, Global), Leitende Angestellte der Finanzabteilung (Sicherheit, Global), Vertrieb (Sicherheit, Global), APP_Office 2007 (Sicherheit, Global)
    • In der OU "Administratoren" folgende Gruppen erstellt: Helpdesk, Windows-Administratoren
    • Benutzer "mmustermann_admin" in der OU "Administratoren" unter "Mitglied von" der Gruppe "Domänen-Admins" hinzugefügt
    • Der Gruppe "Helpdesk" in der OU "Administratoren" über die Registerkarte "Mitglieder" Barbara Mayer (bmayer) hinzugefügt
    • Rechte Maustaste auf OU "Personal" und dann "Objektverwaltung zuweisen" -> Hinzufügen -> Helpdesk -> Weiter -> Option "Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung" angeklickt -> Weiter -> Fertigstellen


    So wurde dies alles eingerichtet. Wenn cih mich nun als "bmayer" einlogge und über die Verwaltung "Active Directory-Benutzer und -Computer" öffne, kann ich die Kennwörter der Benutzer der Gruppe "Personal" zurücksetzen.

    Bis hierhin alles wunderbar!!!


    Jetzt erstelle ich IN DER OU "Personal" eine OU "Zweigniederlassung". In der OU "Zweigniederlassung" erstelle ich einen Benutzer "Michael Müller (mmueller)". Die Kontrolle zeigt, dass die Helpdesk-Berechtigungen vererbt wurden.

    Logge ich mich nun wieder als bmayer ein, kann ich immer noch die Kennwörter der OU "Personal" zurücksetzen und, aufgrund der Vererbung, auch das Kennwort von "mmueller" aus der OU "Zweigniederlassung".


    Melde ich mich jetzt jedoch wieder als Admin an und klicke mit der rechten Maustaste auf die OU "Zweigniederlassung" -> Sicheriet -> und mache dann den Haken bei "Vererbbare Berechtigungen des übergeordneten Objektes einschließen" raus, erhalten ich diese Meldung mit "Kopieren und Entfernen" (siehe oben). Da dies im Buch überhaupt nicht erwähnt wird, bin ich nicht so ganz sicher was das bedeutet.

    Jedenfalls klicke ich hier auf "Kopieren" und dann auf OK. Nun kontrolliere ich die Helpdest-Berechtigung sowohl beim User mmueller, als auch bei der ou "Zweigniederlassung" und der ou "Personal". Alles noch genauso wie zuvor. Die Haken sind da wo sie sein sollen. Ein Test mit bmayer zeigt, dass ich tatsächlich auch noch alle Kennwörter zurücksetzen kann, sowohl unter "Personal" als auch unter "Zweigniederlassung".

    Nun gehe ich als Admin nochmal in die OU "Zweigniederlassung" -> Eigenschaften -> Sicherheit -> Erweiterte Sicherheitseinstellungen und mache dort die Haken bei "Kennwort zurücksetzen" und bei "pwdLastSet lesen" und "pwdLastSet schreiben" raus. Damit sind die Berechtigungseinträge für "Helpdesk" auch komplett aus der Liste verschwunden.


    ....

    So, und jetzt hab ich SOOOO viel geschrieben und jetzt wirds komisch! Plötzlich funktioniert es so wie ich es immer wollte :-D.
    Ich hab alles nochmal neu gemacht, zum 5. mal. 4 mal hat es nicht geklappt, diesmal schon. Ich wüsste nur zu gern warum.


    Das einzige was ich diesmal anders gemacht habe als sonst, ist, dass ich unter bmayer die vom Admin erstellte benutzerdefinierte MMC verwendet habe und nicht wie sonst einfach "Active Directory Benutzer und -Computer" unter "Verwaltung".


    Kann das sein, dass genau DAS der Fehler war???

    Montag, 14. November 2011 22:30