Foreign Security Principals entfernen

(Letztes Update) | Posted by | Migration, PowerShell |

 

Foreign Security Principals entfernen

Eine zunächst sehr einfach anmutende Anfrage brachte doch eine kleine Herausforderung mit sich:

Nach einer abgeschlossenen Domain Migration sollten die Foreign Security Principals aus den Domain Local Groups entfernt werden.

 

Hintergrund – was sind Foreign Security Principals (FSP)?

Wenn ein Trust zwischen zwei Domänen oder zwei Forests erstellt wurde, kann auf Ressourcen in der jeweils anderen Domain zugegriffen werden. Die Voraussetzung ist, dass die nötigen Berechtigungen dafür erteilt wurden.

Ein Foreign Security Principal Objekt wird in der Trusting Domain angelegt:

  • wenn ein Benutzerkonto der Trusted Domain Mitglied in einer Domain Local Group der Trusting Domain wird.

Dieses FSP Objekt wird Mitglied der Domain Local Group.

Gespeichert werden die FSPs automatisch in dem Container “ForeignSecurityPrincipals
(nur sichtbar wenn die “advanced features” des Users and Computers Snap-In aktiviert sind).

Die FSP Objekte selbst werden nach dieser Notation aufgebaut:
<SID-des-trusted-Objektes>-<DN-des-FSP-Containers>.
CN=S-1-5-21-123456789-123456789-1234567890123456,CN=ForeignSecurityPrincipals,DC=domain,DC=com.

Orange ist hier der Teil der Domain SID
Rot ist die RID der Objekte.

 

Entfernen der FSPs

Nachdem die Migration abgeschlossen war, wurden die migrierten Objekte in der Ziel-Domain Mitglied der Domain Local Group. Die FSP Objekte sollten entfernt werden. Ein PowerShell Skript sollte dies relativ schnell erledigen können. Ob es sich um ein FSP handelt, lässt sich schnell am Inhalt des “MemberOf“-Attributs der Gruppen erkennen. Hier steht nur der Distinguished Name (DN) des FSP mit der oben beschriebenen Notation drin. Da es in der betroffenen Umgebung mehr als eine Trusted Domain gibt, sollte mittels der Domain SID geprüft werden, ob der FSP aus der gewünschten Quell Domain stammt.

 

Remove-ADGroupMember

Folgender Versuchsaufbau erschien logisch:

  1. Binden des Gruppenobjektes mit Get-ADGroup
  2. Durchforsten des “MemberOF” mit einer ForEach-Schleife
  3. Prüfen der Domain-SID
  4. Entfernen der unerwünschten FSP mit Remove-ADGroupMember.

Jedoch ist es mir auch nach langer Recherche im Internet nicht gelungen, die FSP mit Remove-ADGroupMember zu entfernen.
Der Aufruf von Remove-ADGroupMember lautet wie folgt: 

Remove-ADGroupMember [-Identity] <ADGroup> [-Members] <ADPrincipal[]>

ADGroup – Gruppe, aus welcher ein Mitglied entfernt werden soll
ADPrincipal Mitglied, welches entfernt werden soll

Das Problem besteht nun darin, dass Remove-ADGroupMember nur die Objekttypen “User, Group und Computer” als ADPrincipal akzeptiert. Der Objekttyp “Foreign Security Principal” wird nicht als Eingabeparameter akzeptiert.

 

Remove-QADGroupMember

Lösen konnte ich das Problem, indem ich auf die DELL (Quest) PowerShell cmdLets zurückgegriffen habe.

Das cmdLet Remove-QADGroupMember entfernt FSP aus Gruppen, wenn das FSP Objekt zuvor in einer Variablen gebunden wurde:

$FSPobj=Get-QADObject “CN=S-1-5-21-123456789-123456789-1234567890123456, CN=ForeignSecurityPrincipals,DC=domain,DC=com”
Remove-QADGroupMember -Identity <GroupName> -Member $FSPobj
 
Die DELL (Quest) Active Directory cmdLets können hier heruntergeladen werden:
Download ActiveRoles Management Shell for Active Directory 1.7

 

 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
AD ConsultingAD Migration

Für Fragen zu unseren Leistungen stehen
wir Ihnen unter Kontakt gern zur Verfügung.

Artikel erstellt am: 10.11.2015
Tags:

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

AD Gruppen dynamisch machen

© 2019 · Active-Directory-FAQ by firstattribute.com