none
38 zusätzliche ACEs in einer ACL, weil Berechtigung für ein einzelnes Attribut hinzugefügt wird? RRS feed

  • Frage

  • Hallo Experten,

    ich habe das Gefühl, ein wesentliches Detail des AD Security-Konzepts noch nicht verstanden zu haben. Vielleicht kann mir da jemand einen Tip geben:

    In unserem AD gibt es eine OU mit ca. 3000 User-Accounts, für die ich einstellen möchte, dass die User das Recht haben, ein Attribut ihres eigenen Accounts zu schreiben, das ich dem Schema selber hinzugefügt habe. Es soll also eine "Allow"-ACE für  das Principal "SELF" hinzugefügt werden. Versuche ich nun über die "advanced security settings" (DC ist w2k12) einen Eintrag zur ACL der OU hinzuzufügen, in dem nur das Schreibrecht für dieses eine Attribut angehakt ist, und klicke dann "Apply" erhalte ich den Hinweis:

    "The change you are about to make will result in 38 permissions beeing added to the access control list." - und die Frage, ob ich das wirklich möchte...

    Ich möchte eigentlich nicht, nur ist mir unklar, wie ich diese Masse an zusätzlichen ACEs vermeiden kann und vor allem: was überhaupt der Grund dafür ist. Warum wird hier nicht einfach einfach eine zusätzliche ACE erzeugt und fertig?

    Danke!

    Gruß
    Christoph

    Montag, 10. Februar 2014 17:57

Antworten

  • hi,

    Am 10.02.2014 18:57, schrieb CP42:

    "The change you are about to make will result in 38 permissions beeing added to the access control list."

    ohne drüber nachzudenken: Hast du es mal mit dsacls.exe probiert und dann gezählt? Evtl ist es nur dei GUI, die sich komisch verhält, denn das tut sie öfter bei Rechten im AD und vieles geht nur per dsacls.exe

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. Februar 2014 18:35

Alle Antworten

  • hi,

    Am 10.02.2014 18:57, schrieb CP42:

    "The change you are about to make will result in 38 permissions beeing added to the access control list."

    ohne drüber nachzudenken: Hast du es mal mit dsacls.exe probiert und dann gezählt? Evtl ist es nur dei GUI, die sich komisch verhält, denn das tut sie öfter bei Rechten im AD und vieles geht nur per dsacls.exe

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 10. Februar 2014 18:35
  • Danke! Der Tip, dass es an der GUI liegen könnte, war sehr hilfreich.
    In diesem Fall war es wohl eine Spezialiät der w2k12-GUI, denn bei einem w2k8-DC, den wir auch noch in Betrieb haben, erschien diese Warnung bei Verwendung der GUI nicht, und es wurde dann auch nur die eine ACE hinzugefügt - so wie es sein sollte.  :-)

    (Rückblickend hätte es mit dsacls sicher auch funktioniert, aber ich hatte da die Befürchtung, dass das Tool ohne Nachfragen mal stumpf 38 Einträge hinzufügt, die ich hinterher mühsam wieder entfernen muss...)

    Gruß
    Christoph

    Montag, 10. Februar 2014 19:15