How to – Active Directory vor browsen schützen – List Object Mode

Um Ihr Active Directory vor unbefugtem Browsen zu schützen, sind einige Schritte erforderlich.

Ich habe versucht, diese Schritte hier entsprechend zusammenzufassen.

Zunächst müssen Sie Ihr Active Directory in den sogenannten List Object Mode setzten. Vereinfacht erklärt wird in diesem Zustand immer auf dem Parent des zu ermittelnden Objektes die Berechtigung geprüft. Hat das anfragende Objekt nicht das List Content Recht, kann es die darunterliegenden Objekte nicht browsen. Den List Object Mode setzen Sie am einfachsten über ADSIEdit.msc. Erstellen Sie eine Verbindung zur Configurations Partition. Gehen Sie dort unter CN=Configuration,CN=Services,CN=Windows NT auf den Attribute Editor des Directory Service Objektes. Wählen Sie das Attribut dSHeuristics und tragen Sie die 001 ein. Das war es schon. Ihr Active Directory ist nun im List Object Mode.

ad1ad1

Nehmen wir an, Sie haben eine OU für Ihre Benutzer und möchten diese vor unbefugten Einblicken schützen. Für diese OU müssen Sie in dem Fall den Authenticated Usern das List Object und das List Content Recht entziehen. Dazu gehen Sie in die Advanced Security Settings der OU, wählen die Authenticated Users aus und entfernen diese beiden Berechtigungen. Hier im Beispiel 2008. Diese Einstellung gilt aber genauso auch für 2003:

ad2

Damit ist der Angemeldete Benutzer nicht mehr in der Lage, über diese OU zu browsen.

ACHTUNG!

Sie können dieses Recht nicht Domänenweit auf oberster Ebene setzten, da Sie sonst die Policy Verarbeitung gefährden. Die Authenticated Users (und das sind alle) wären dann nicht mehr in der Lage, die Group Policy Objects zu finden.