{"id":916,"date":"2017-09-09T12:32:10","date_gmt":"2017-09-09T10:32:10","guid":{"rendered":"http:\/\/blog.langlitz-it.de\/?p=916"},"modified":"2017-09-18T10:09:22","modified_gmt":"2017-09-18T08:09:22","slug":"how-to-list-object-mode-im-active-directory","status":"publish","type":"post","link":"https:\/\/www.langlitz-it.de\/?p=916","title":{"rendered":"How to &#8211; List Object Mode im Active Directory"},"content":{"rendered":"<p>Es kann unter Umst\u00e4nden erforderlich sein, dass in einem <em>Active Directory<\/em> bestimmte Objekte f\u00fcr Benutzer nicht sichtbar und nicht zu durchsuchen sind.<br \/>\nWenn ein AD beispielsweise im Hosting, d.h. shared f\u00fcr mehrere Kunden genutzt wird, w\u00e4re es fatal, wenn ein Kunde die Benutzer des anderen Kunden browsen k\u00f6nnte. Das l\u00e4sst sich eigentlich relativ einfach realisieren.<br \/>\nSie k\u00f6nnten hier mit <em>Denies<\/em> auf bestimmte <em>OUs<\/em> arbeiten. Dies sch\u00fctzt aber nicht davor, dass diese <em>OUs<\/em> noch sichtbar sind, auch wenn Sie den Inhalt sperren.<\/p>\n<p>Ein Beispiel:<br \/>\nSie haben all Ihre Kunden in <em>Sub OUs<\/em> einer <em>OU<\/em> Kunden zusammengefasst. Hat ein Benutzer nun das <em>LC (ListContent)<\/em> Recht auf dieser <em>OU<\/em> Kunden, kann er alle <em>OUs<\/em>, die darunter zu finden sind, sehen.<br \/>\nUnd das unabh\u00e4ngig davon, welche Rechte er auf die darunteliegenden <em>OUs<\/em> hat. Wenn ein Benutzer des <em>Kunden 01<\/em> den Namen des <em>Kunden 02<\/em> sieht, w\u00e4re das zwar f\u00fcr den <em>Kunden 01<\/em> interessant, aber sicher vom <em>Kunden 02<\/em> nicht wirklich gewollt.<\/p>\n<ul>\n<li><span style=\"line-height: 1.5em;\">Domain<\/span>\n<ul>\n<li>-&gt; Kunden\n<ul>\n<li>-&gt; Kunde 01<\/li>\n<li>-&gt; Kunde 02<\/li>\n<li>-&gt; Kunde 03<\/li>\n<li>-&gt; &#8230;<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Nun kommt der <em>List Object Mode<\/em> ins Spiel. Wenn Sie das <em>AD<\/em> in diesen Modus setzen (Ich beschreibe am Ende wie das geht), dann wird das Recht <em>LO (ListObject)<\/em> auf jeder<em> OU<\/em> ausgewertet.<br \/>\nBei aktiviertem <em>List Object Mode<\/em> wird bei Zugriffen auf Objekte im <em>AD<\/em> die Berechtigung auf der \u00fcbergeordneten <em>OU (Parent)<\/em> des Objektes gepr\u00fcft. Hat das anfragende Object nicht das <em>LO<\/em>\u00a0Recht,<br \/>\nkann er das darunterliegende nicht browsen.<br \/>\nWenn dann ein User<em> LO<\/em> auf die<em> OU<\/em> Kunden hat, dann brauch er dieses Recht auch auf die <em>Kunden 01<\/em>, <em>Kunden 02<\/em>, etc. <em>OUs,<\/em> um diese sehen zu k\u00f6nnen.<\/p>\n<p>Es sind allerdings noch einige Dinge zu tun, um die korrekten Berechtigungen tats\u00e4chlich nutzen zu k\u00f6nnen.<\/p>\n<p>Wenn eine <em>OU<\/em> angelegt wird, v\u00f6llig gleich auf welcher Ebene, dann werden Standard Berechtigungen vergeben. Diese sind im Schema des <em>ADs<\/em> hinterlegt.<br \/>\nDas gilt \u00fcbrigens auch f\u00fcr alle anderen Objekte bei der Anlage. Diese Berechtigungen sind im <em>defaultSecurityDescriptor<\/em> eingetragen und werden daraus bei der Anlage ausgelesen.<br \/>\nDas Problem ist, dass hier auch das <em>LO<\/em> Recht f\u00fcr die Gruppe <em>AuthenticatedUsers<\/em> hinterlegt ist.<br \/>\nSie k\u00f6nnen diese Standard Berechtigungen z.B. \u00fcber den Schemaadmin \u00e4ndern. \u00d6ffnen Sie die Schemaadmin <em>MMC<\/em> und gehen Sie auf <em>Classes, d<\/em>ann auf <em>OrganizationalUnit &#8211; Properties &#8211; Default Security &#8211; Advanced &#8211; AuthenticatedUsers &#8211; Edit<\/em>. Dort k\u00f6nnen Sie die Rechte <em>LO<\/em> und <em>LC<\/em> entziehen. Sie k\u00f6nnen, falls Sie das nicht als Default m\u00f6chten, diese Rechte nat\u00fcrlich auch nach dem Anlegen des Objektes entziehen.<\/p>\n<p><a href=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom1.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-917\" src=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom1-1024x498.jpg\" alt=\"lom1\" width=\"1024\" height=\"498\" srcset=\"https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom1-1024x498.jpg 1024w, https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom1-300x146.jpg 300w, https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom1.jpg 1293w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n<p>Sie k\u00f6nnen diese Default Einstellungen auch \u00fcber<em> ADSIedit.msc<\/em> \u00e4ndern. Verbinden Sie sich dazu auf die <em>Schema Partition<\/em> Ihres <em>ADs<\/em> und w\u00e4hlen Sie das entsprechende Objekt. Im Beispiel <em>OrganizationalUnit.<\/em><br \/>\nDort ist der <em>defaultSecurityDescriptor<\/em> im <em>SDDL<\/em> Format abgelegt.<\/p>\n<p><a href=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom2.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-large wp-image-918\" src=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom2-1024x471.jpg\" alt=\"lom2\" width=\"1024\" height=\"471\" srcset=\"https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom2-1024x471.jpg 1024w, https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom2-300x138.jpg 300w, https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom2.jpg 1162w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/a><\/p>\n<p>Hier eine kleine Erkl\u00e4rung des Formats:<\/p>\n<p>D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(OA;;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)<span style=\"color: #ff0000;\">(A;;RPLCLORC;;;AU)<\/span>(A;;LCRPLORC;;;ED)(OA;;CCDC;4828CC14-1437-45bc-9B07-AD6F015E5F28;;AO)<\/p>\n<p>Bedeutung von<span style=\"color: #ff0000;\"> (A;;RPLCLORC;;;AU)<\/span>:<br \/>\nZugriffsArt: (A) = Allow Acccess<br \/>\nRechte: (RPLCLORC) = (RP) = ADS_RIGHT_DS_READ_PROP +<br \/>\n(LC) = ADS_RIGHT_ACTRL_DS_LIST +<br \/>\n(LO) = ADS_RIGHT_DS_LIST_OBJECT +<br \/>\n(RC) = ADS_RIGHT_DS_CONTROL_ACCESS<br \/>\nIdentity: (AU) = Authenticated Users<\/p>\n<p><span style=\"color: #ff0000;\"><strong>ACHTUNG!<\/strong><\/span><br \/>\nSie d\u00fcrfen diese Rechte nicht auf der Domain Root entfernen, da Sie sonst die Policy Verarbeitung gef\u00e4hrden.<\/p>\n<p><span style=\"color: #ff0000;\"><strong>Besonderheit!<br \/>\n<\/strong><\/span>Es gibt vielerorts noch die Gruppe <em>Pre-Windows 200 Compatible Access,<\/em> in der die <em>AuthenticatedUsers<\/em> Member sein k\u00f6nnten. Diverse Server sind hier oft Member. Diese Gruppe hat per Default auch das <em>LO<\/em> und <em>LC<\/em> Recht. Damit k\u00f6nnten Ihre vorgenommenen \u00c4nderungen wieder ausgehebelt werden. Pr\u00fcfen Sie bei dieser Vorgehensweise also auch immer diese Gruppe.<\/p>\n<p>Die Gruppe ist aber &#8220;eigentlich&#8221; nur noch ein Relikt aus NT4 Zeiten und kann theoretisch auch aus den Berechtigungen entfernt werden. Nat\u00fcrlich nur auf &#8220;eigene Gefahr&#8221; \ud83d\ude09<\/p>\n<p><strong>\u00a0Setzen des <em>List Object Mode<\/em><\/strong><\/p>\n<p>Den <em>List Object Mode<\/em> setzen Sie \u00fcber das Attribut <em>dsHeuristics<\/em> der <em>DirectoryService<\/em> Einstellungen. Sie finden dies, wenn Sie sich mit <em>ADSIEdit.msc<\/em> auf die <em>Configuration Partition<\/em> Ihres <em>ADs<\/em> verbinden.<\/p>\n<p><a href=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom3.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignnone size-full wp-image-921\" src=\"http:\/\/blog.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom3.jpg\" alt=\"lom3\" width=\"987\" height=\"420\" srcset=\"https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom3.jpg 987w, https:\/\/www.langlitz-it.de\/wp-content\/uploads\/2014\/03\/lom3-300x127.jpg 300w\" sizes=\"(max-width: 987px) 100vw, 987px\" \/><\/a><\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Es kann unter Umst\u00e4nden erforderlich sein, dass in einem Active Directory bestimmte Objekte f\u00fcr Benutzer nicht sichtbar und nicht zu durchsuchen sind. Wenn ein AD beispielsweise im Hosting, d.h. shared f\u00fcr mehrere Kunden genutzt wird, w\u00e4re es fatal, wenn ein &hellip; <a href=\"https:\/\/www.langlitz-it.de\/?p=916\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[368,551,350,357,367,356,355,354,369],"_links":{"self":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/916"}],"collection":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=916"}],"version-history":[{"count":9,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/916\/revisions"}],"predecessor-version":[{"id":2150,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/916\/revisions\/2150"}],"wp:attachment":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=916"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=916"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=916"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}