• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Foreign Security Principals entfernen

Nov 27, 2017 (Letztes Update) | Posted by Jens Künzler Migration, PowerShell |

 

Eine zunächst sehr einfach anmutende Anfrage brachte doch eine kleine Herausforderung mit sich:

Nach einer abgeschlossenen Domain Migration sollten die Foreign Security Principals aus den Domain Local Groups entfernt werden.

Inhaltsverzeichnis

  • 1 Hintergrund – was sind Foreign Security Principals (FSP)?
  • 2 Entfernen der FSPs
    • 2.1 Remove-ADGroupMember
    • 2.2 Remove-QADGroupMember

 

Hintergrund – was sind Foreign Security Principals (FSP)?

Wenn ein Trust zwischen zwei Domänen oder zwei Forests erstellt wurde, kann auf Ressourcen in der jeweils anderen Domain zugegriffen werden. Die Voraussetzung ist, dass die nötigen Berechtigungen dafür erteilt wurden.

Ein Foreign Security Principal Objekt wird in der Trusting Domain angelegt:

  • wenn ein Benutzerkonto der Trusted Domain Mitglied in einer Domain Local Group der Trusting Domain wird.

Dieses FSP Objekt wird Mitglied der Domain Local Group.

Gespeichert werden die FSPs automatisch in dem Container “ForeignSecurityPrincipals”
(nur sichtbar wenn die “advanced features” des Users and Computers Snap-In aktiviert sind).

Die FSP Objekte selbst werden nach dieser Notation aufgebaut:
<SID-des-trusted-Objektes>-<DN-des-FSP-Containers>.
CN=S-1-5-21-123456789-123456789-1234567890–123456,CN=ForeignSecurityPrincipals,DC=domain,DC=com.

Orange ist hier der Teil der Domain SID
Rot ist die RID der Objekte.

 

Entfernen der FSPs

Nachdem die Migration abgeschlossen war, wurden die migrierten Objekte in der Ziel-Domain Mitglied der Domain Local Group. Die FSP Objekte sollten entfernt werden. Ein PowerShell Skript sollte dies relativ schnell erledigen können. Ob es sich um ein FSP handelt, lässt sich schnell am Inhalt des “MemberOf“-Attributs der Gruppen erkennen. Hier steht nur der Distinguished Name (DN) des FSP mit der oben beschriebenen Notation drin. Da es in der betroffenen Umgebung mehr als eine Trusted Domain gibt, sollte mittels der Domain SID geprüft werden, ob der FSP aus der gewünschten Quell Domain stammt.

 

Remove-ADGroupMember

Folgender Versuchsaufbau erschien logisch:

  1. Binden des Gruppenobjektes mit Get-ADGroup
  2. Durchforsten des “MemberOF” mit einer ForEach-Schleife
  3. Prüfen der Domain-SID
  4. Entfernen der unerwünschten FSP mit Remove-ADGroupMember.

Jedoch ist es mir auch nach langer Recherche im Internet nicht gelungen, die FSP mit Remove-ADGroupMember zu entfernen.
Der Aufruf von Remove-ADGroupMember lautet wie folgt: 

Remove-ADGroupMember [-Identity] <ADGroup> [-Members] <ADPrincipal[]>

ADGroup – Gruppe, aus welcher ein Mitglied entfernt werden soll
ADPrincipal – Mitglied, welches entfernt werden soll

Das Problem besteht nun darin, dass Remove-ADGroupMember nur die Objekttypen “User, Group und Computer” als ADPrincipal akzeptiert. Der Objekttyp “Foreign Security Principal” wird nicht als Eingabeparameter akzeptiert.

 

Remove-QADGroupMember

Lösen konnte ich das Problem, indem ich auf die DELL (Quest) PowerShell cmdLets zurückgegriffen habe.

Das cmdLet Remove-QADGroupMember entfernt FSP aus Gruppen, wenn das FSP Objekt zuvor in einer Variablen gebunden wurde:

$FSPobj=Get-QADObject “CN=S-1-5-21-123456789-123456789-1234567890–123456, CN=ForeignSecurityPrincipals,DC=domain,DC=com”
Remove-QADGroupMember -Identity <GroupName> -Member $FSPobj
 
Die DELL (Quest) Active Directory cmdLets können hier heruntergeladen werden:
Download ActiveRoles Management Shell for Active Directory 1.7

 

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD Consulting | AD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 10.11.2015
Tags: Foreign Security PrincipalFSPRemove Group Member
2

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Passwortgenerierung nach Richtlinien-Änderung anpassen
  • Zeichenfolgen in Passwörtern vermeiden
  • 6 Lösungen, wenn Outlook Abwesenheitsnotiz vergessen
  • Azure AD Connect installieren
  • LastLogon vs. LastLogonTimestamp


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Elysabeth Yven bei Outlook Suche verfeinern mit speziellen Suchkriterien
  • Outlook 2016 bei Outlook Suche verfeinern mit speziellen Suchkriterien
  • E-Mail-Adresse mit PowerShell prüfen - Active Directory FAQ bei Primäre E-Mail-Adresse ändern mit PowerShell
Login
Impressum
Datenschutzerklärung

© 2021 · Active-Directory-FAQ by firstattribute.com

Prev Next