• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Inkonsistente Berechtigungen im Global Catalog

Apr 29, 2015 (Letztes Update) | Posted by Peter Schäfer Administration, KnowHow |

 

Inkonsistente Berechtigungen im Global Catalog

Wer mit Hilfe von Active Directory Gruppen Berechtigungen auf Ressourcen vergibt, macht dies häufig nach dem empfohlenen Prinzip:

  1. Berechtigungen an lokale Gruppen binden.
  2. Globale oder universelle Gruppen in die lokalen verschachteln.
  3. Benutzer den globalen Gruppen hinzufügen

Vergibt man auf diese Weise Berechtigungen im Active Directory auf AD-Objekte, kann es unerwartete Resultate zur Folge haben…

 

Global Catalog Problem:
Benutzer in gleicher lokalen Gruppe – Attribut aber nicht sichtbar

Das folgende Beispiel soll inkosistente Berechtigungen im Global Catalog und seine Folgen besser verdeutlichen:

Ein Forest besteht aus zwei Domänen:

  • Domäne1 und
  • Domäne2

In jeder Domäne ist mindestens ein Domain-Controller Global Catalog (GC) Server.

In der Domäne 1 wurde eine lokale Gruppe erstellt. Diese lokale Gruppe wurde berechtigt, ein bestimmtes Attribut eines Benutzers im AD lesen zu können, was z.B. für alle anderen Benutzer nicht sichtbar ist. Dieses Attribut wird auch in den GC repliziert.

Mitglied dieser Gruppe ist eine universelle Gruppe mit je einem Benutzer aus jeder Domäne.

 inkonsistene berechtigung global catalog

Der Unterschied ist, wenn…

  • …Benutzer1 aus Domäne1 auf den Global Catalog zugreift, kann er das Attribut problemlos lesen.
  • …Benutzer2 aus Domäne2 dies nun auf seinem GC versucht, sieht er das Attribut nicht.

Wie kommt das? Benutzer2 ist doch genau wie Benutzer1 Mitglied der universellen Gruppe und die GCs in beiden Domänen halten auch dieselben Informationen.

 

Ursache: Ressource nicht in der gleichen Domäne

Die Ursache hierfür ist, dass wir eine grundsätzliche Regel für die oben genannte Berechtigungsvergabe missachtet haben:

Die Ressource muss sich in derselben Domäne befinden, wie die lokale Berechtigungsgruppe.

In diesem Fall ist jedoch der GC in Domäne 2 in einer anderen Domäne als die lokale Gruppe.

Die SIDs von lokalen Gruppen werden aber nur in derselben Domäne in das Benutzertoken aufgenommen. Aus diesem Grund hat der Benutzer aus Domäne 2 beim Zugriff auf einen GC aus Domäne 2 keine SID für die lokale Gruppe in seinem Token. Daher erhält er auch keine Berechtigung auf das Attribut.

 

Lösungsvorschlag

Zur Vermeidung des Problems, sollte man in diesem speziellen Fall man die Berechtigungen direkt an universelle Sicherheitsgruppen vergeben.

 


Die FirstAttribute AG ist spezialisiert auf Active Directory Projekte und Migrationen. 
Stellen Sie uns gern Ihre Frage zu AD Konsolidierung, Konzeptionierung oder zur Anbindung an andere Systeme.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 29.01.2015
Tags: BerechtigungGlobal CataloggroupGruppenmitgliedschaft
0

You also might be interested in

Titel-Verschachtelte-Gruppen

Verschachtelung von Gruppen im AD

Apr 20, 2016

Ich werde des Öfteren gefragt, welcher Gruppentyp in welchen Gruppen[...]

ntf-authorization-creator-owner-berechtigung

NTFS Berechtigung „Creator Owner / Ersteller und Besitzer“

Okt 23, 2015

Einführung und Beschreibung der Creator Owner-Berechtigung. Potentielle Gefahren die von[...]

Automatische Gruppen Titel

Gruppenmitgliedschaften automatisieren mit DynamicGroup 2015

Sep 24, 2015

In Microsofts Active Directory werden Gruppen verwendet, um Berechtigungen und[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next