none
Mister Active Directory DAC RRS feed

  • Question

  • Salut tout le monde, 

    mon infra est la suivante un DC et plusieurs postes, j'ai mis en place le DAC sur le DC, pas de problème tout fonctionne bien, mais quand je change un élément dans l'attribut qui permet l'accès, supposons le service devrait être standard, je mets standard1. cela prend du temps pour fonctionner sur l'accès malgré les refresh, repadmin, gpupdate etc....

    pourtant dans le powershell et dans dsa l'utilisateur prend bien la bonne valeur qui l'empêche ou l'autorise à accéder à la règle mais le changement n'est pas immédiat, du à quoi je sais pas !!! aucune documentation sur le net, j'ai séché  


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi


    • Modifié M dakhama jeudi 12 novembre 2020 19:04
    jeudi 12 novembre 2020 19:00

Réponses

  • Tu peux détailler les manip que tu fais ? pas tout compris sur la question .

    mais le dac à besoin de 15 min pour que cela se modifie 

    C'est a dire ? ce n'est pas le DAC qui vérifies que tu as le droit d'accéder à une ressource, mais le serveur de ressource qui regarde dans le ticket Kerberos  (que le KDC t'a fournis)  les groupes et les claims qui sont présent.

    La modification est prise en compte quand le ticket est renouvelé. Un ticket actif non échue peut autoriser ou empecher pendant un delata l'accès à une ressource.

    Le rôle du DAC est de fournir des règles pour ajouter des identifiants de sécurité dans les tickets Kerberos.

    Klist en ligne de commande pour afficher tes tickets Kerberos.

    Whoami /claims devrait permettre d'afficher les revendications (claims) de la session.



    vendredi 13 novembre 2020 10:39
  • en fait je récapitule,

    le DAC est configuré sur mon AD, y a qu'un seul AD, je suis logué avec Mehdi qui est admin du domaine.

    quand je teste l'accès au dossier par l'onglet sécurité, Accès effectif avec un autre utilisateur, toujours connecté en tant que mehdi, par exemple : user1 le résultat m'affiche que l'utilisateur a accès, puisque la règle match.

    maintenant toujours avec ma propre session et toujours dans l'AD si je modifie l'attribut exprès de user1 pour que je le bloque, il aura toujours accès durant 15min le temps que la modification soit effective, et cela est du à quoi je sais pas, car avec powershell je vois parexemple que user1 à pris la nouvelle valeur dans l'attribut.

    klist et Whoami donne le résultat de mehdi, mais moi j'ai testé sur user1. en fait les changements dans l'ad ont besoin de 15 min sur le même AD, sachant qu'il y a qu'un seul AD !!! et je n'ai touché à rien ni site ni réplication ni rien, j'avais forcer la réplication avec les commandes repadmin etc... gpupdate rien

    15min c'est 15min 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 14:24

Toutes les réponses

  • l'utilisateur à ici l'attribut standard1 qui ne devrait pas lui permettre d'accéder au dossier, mais cela ne va pas s'appliquer quoique je fasse, avant une durée de 15 min minimum, est ce que c'est le catalogue globale qui a changé  et le dac interroge un autre annuaire interne ?? 

    mon hypothèse : le DC interroge un annuaire que nous voyons pas par commande ? ou console ? car j'ai un seul AD ? qui peut nous résoudre cette énigme


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    jeudi 12 novembre 2020 19:04
  • Bonjour,

    J'avais souvent le problème dans mes proof of concept DAC.

    Voila une méthode qui marche a chaque fois.

    Cela pour n'importe quelle modification du DAC.

    Pour le rafraichissement du DAC instantanément, il faut :

    GPUPDATE /force sur le DC

    GPUDAPTE /force sur le/les serveur de fichier

    GPUPDATE /force sur le/les clients

    +

    Commande à taper en POWERSHELL sur le serveur de fichier ou il y a FSRM (classification) :

    Update-FsrmClassificationPropertyDefinition

    Remarque

    Il faut les GPO KDC + STRATEGY ACCES au niveau du domaine.

     


    "Marquer comme réponse" les réponses qui ont résolu votre problème







    jeudi 12 novembre 2020 19:08
  • Voila je confirme après 15 min le dac, c'est rafraichit, et les droits ont disparus eux même, si cela peut aider quelqu'un d'autre, philippe on attend une explication !!! need help 

    le dac s'appuis sur le GC ? c'est quoi ce délire 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    jeudi 12 novembre 2020 19:10
  • Voila un lien qui peut être t'aidera :

    https://www.e-novatic.fr/mise-en-oeuvre-dynamic-access-control/


    "Marquer comme réponse" les réponses qui ont résolu votre problème

    jeudi 12 novembre 2020 20:01
  • Merci beaucoup jerome pour ta réactivité, en fait le dac fonctionne super bien, j'ai la doc officielle de Microsoft et je l'ai fait pour des stagiaires aujourd'hui, y a aucun problème ladessus, ce que je voulais savoir pourquoi il faut attendre 15min pour que les attributs ad soient appliqués ! Alors que le dac et ad sont sur le meme serveur, seul un génie d'ad peut répondre à cette question.

    J'ai tout essayé toutes les commandes


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    jeudi 12 novembre 2020 21:02
  • 1- )Le DAC utilise Kerberos pour ajouter les informations de classifications en tant qu'identifiant de sécurité. Une modifications est prise en compte après le renouvellement du ticket Kerberos.

    C'est le ticket kerberos qui permet d'accéder à la ressource.

    2-) De plus dans des environnements complexe, les temps de réplications peuvent également ajouté un délai à la prise en compte de la modification.




    vendredi 13 novembre 2020 05:41
  • Salut Philippe,

    Merci pour la réponse, c'est ce que je me suis dit.

    Mais la je suis sur l'ad lui même, qui est KDC, et j'essaies avec l'onglet accès effectifs avec d'autres users pas celui avec lequel j'ai ouvert la session, quand je modifie un attribut sur l'ad d'un user, la modification est immédiate, sur le dsa et powershell, mais le dac à besoin de 15 min pour que cela se modifie ??

    On dirait le serveur AD n'interroge pas l'annuaire que nous voyons peut etre une copie en attendant un rafraîchissement !!


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 08:53
  • Tu peux détailler les manip que tu fais ? pas tout compris sur la question .

    mais le dac à besoin de 15 min pour que cela se modifie 

    C'est a dire ? ce n'est pas le DAC qui vérifies que tu as le droit d'accéder à une ressource, mais le serveur de ressource qui regarde dans le ticket Kerberos  (que le KDC t'a fournis)  les groupes et les claims qui sont présent.

    La modification est prise en compte quand le ticket est renouvelé. Un ticket actif non échue peut autoriser ou empecher pendant un delata l'accès à une ressource.

    Le rôle du DAC est de fournir des règles pour ajouter des identifiants de sécurité dans les tickets Kerberos.

    Klist en ligne de commande pour afficher tes tickets Kerberos.

    Whoami /claims devrait permettre d'afficher les revendications (claims) de la session.



    vendredi 13 novembre 2020 10:39
  • en fait je récapitule,

    le DAC est configuré sur mon AD, y a qu'un seul AD, je suis logué avec Mehdi qui est admin du domaine.

    quand je teste l'accès au dossier par l'onglet sécurité, Accès effectif avec un autre utilisateur, toujours connecté en tant que mehdi, par exemple : user1 le résultat m'affiche que l'utilisateur a accès, puisque la règle match.

    maintenant toujours avec ma propre session et toujours dans l'AD si je modifie l'attribut exprès de user1 pour que je le bloque, il aura toujours accès durant 15min le temps que la modification soit effective, et cela est du à quoi je sais pas, car avec powershell je vois parexemple que user1 à pris la nouvelle valeur dans l'attribut.

    klist et Whoami donne le résultat de mehdi, mais moi j'ai testé sur user1. en fait les changements dans l'ad ont besoin de 15 min sur le même AD, sachant qu'il y a qu'un seul AD !!! et je n'ai touché à rien ni site ni réplication ni rien, j'avais forcer la réplication avec les commandes repadmin etc... gpupdate rien

    15min c'est 15min 


    Dakhama Mehdi : Windows developper https://github.com/dakhama-mehdi

    vendredi 13 novembre 2020 14:24