none
Наследование настроек безопасности для объектов AD DS RRS feed

  • Вопрос

  • Приветствую, Коллеги!

    Имеется следующая ситуация:

    На данный момент лес AD DS  Windows 2008 R2, ведущий свою историю, судя по наличию DNS зоны _msdcs внутри зоны домена, от леса Windows 2000 и представлен двумя однодоменными деревьями. Второе дерево добавилось уже при Windows 2008 R2. Корневой домен , в бытность Windows 2003 перенес процедуру переименования, говорят без сложностей.

    Обнаружено, что у многих объектов AD DS (у некоторых  OU и соответсвтенно у всех объектов в составе данных OU) в дополнительных параметрах безопасности не стоит галка "Добавить разрешения, наследуемые от родительских объектов". Насколько я понял интерфейса позволяющего произвести распространение наследования разрешений на дочерние объекты нет.

    Уважаемые, подскажите инструмент для исправления ситуации?

    И не могу понять, что вызвало такую ситуацию, по умолчанию разрешения должны наследоваться, систематики в явлении не обнаружил возможно исторические корни какогото неизвестного дизайна? Или, что то не так в более глобальном плане?

    • Перемещено Denis DyagilevEditor 13 апреля 2010 г. 13:26 (От:Windows Server 2008 R2)
    13 апреля 2010 г. 11:26

Ответы

Все ответы

  • Powershell, думаю, Вам поможет - задайте вопрос в специализированной ветке, или давайте перенесем топ туда.

    13 апреля 2010 г. 12:02
    Модератор
  • Да, наверное Вы правы, давайте перенесем.

    13 апреля 2010 г. 12:35
    • Помечено в качестве ответа Vasily GusevModerator 6 сентября 2010 г. 15:38
    13 апреля 2010 г. 14:19
  • Процедура назначения разрешений на объекты в AD более сложная, чем в NTFS. Это можно понять - в NTFS всего 2 типа объекта - папка и файл, а в AD сколько? 

    Можно выделить 3 основных момента, связанных как разрешением доступа к объектам, так и с наследованием:

    1) Настройка разрешений на объекты для защищённых групп (Protected Groups). За это отвечает специальный контейнер AdminSDHolder: AdminSDHolder, Protected Groups and SDPROP http://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

    2) Настройка разрешений на объекты ваших собственных групп, как механизм делегирования. Для своих собственных групп вы можете управлять наследованием, настраивая разрешения на родительском контейнере и указывая, к каким объектам будет применяться данное разрешение. Например, Apply To: all descendant objects - устанавливает наследование на все дочерние объекты по всей иерархии.  

    3) И последнее. Дескриптор безопасности для нового объекта создаётся на основе описания, заложенного в схеме AD для конкретного класса объекта. Characteristics of Object Classes http://msdn.microsoft.com/en-us/library/ms675579(v=VS.85).aspx (см. defaultSecurityDescriptor и далее по ссылкам)
     
    • Предложено в качестве ответа Vadim Ditch 16 апреля 2010 г. 5:48
    • Помечено в качестве ответа Vasily GusevModerator 6 сентября 2010 г. 15:38
    14 апреля 2010 г. 10:44
  • Коллеги! спасибо за сответы! 

    Да, Анатолий, спасибо большое, все верно, принцип назначения разрешений на объекты AD мне понятен. Проблема обнаружилась как раз при настройке делегирования полномочий группам администраторов на отдельные OU,  как правильно Вы написали - выданые на уровне OU разрешения должны распространятся на дочерние объекты согласно настройкам, однако этого не происходит, в силу того, что у всех дочерних объектов (например учетных записей компьютеров) заблокированно наследование разрешений от родительского объекта, что не является ситуацией "по умолчанию" . Как так случилось я прокоментировать не готов:)

    Поэтому на данный момент вижу задачу не исправлять разрешения на объекты (т.к. до этого проблем связанных с разрешениями не возникало и потому считаю, что они корректны), а в принудительном порядке автоматизированно выставить для группы объектов внутри OU параметр "Добавить разрешения, наследуемые от родительских объектов", что бы иметь работающий механизм делегирования полномочий.

    Читая ссылки порекомендованные s.h.s. нашел возможность использовать для этой цели  утилиту DSACLS, с параметром /S

    Restore the security on the object to the default for that object class as defined in AD DS Schema. This option works when dsacls is bound to NTDS. To restore default ACL of an object in AD LDS use /resetDefaultDACL and /resetDefaultSACL options. 

    Проверю на стенде, если удастся выработать рабочее решение, исправляющее ситуацию - о применении отпишусь:)

    14 апреля 2010 г. 14:46
  • Проблема аналогичная, только у нас чекбокс "наследовать разрешения от родителя" пропал на ряде объектов типа пользователь и группа хаотично (возможно на первый взгляд) по всему домену после поднятия ФУ леса до 2008. Теперь нужно найти все объекты где наследование прервано и восстановить его. Сейчас буду тестить предложеные в этом обсуждении утилиты, хотя по началу склонялся в написании повершельного скрипта, который бы провёл поиск по всему домену объектов с прерванным наследованием, но сегодня пол дня прокопался - не смог найти какое свойство у объекта надо проверить чтобы определить его как искомый проблемный. Будем теперь копать вместе.
  • У меня тоже самое, на 20% стоит галка, на остальных нет). Ставить в Default не советую, если есть Exchange.
    20 августа 2010 г. 8:19