Bewertung: 5 / 5

Stern aktivStern aktivStern aktivStern aktivStern aktiv
 

Innerhalb des Active Directory nimmt die Objektdelegierung einen wichtigen Platz ein. Falsch gesezte Rechte auf OUs stellen ein nicht zu unterschätzendes Sicherheitsrisiko dar.

Daher sollte man Benutzern auf bestimmte OUs im AD nur soviel Rechte einräumen, wie sie tatsächlich benötigen. Ein Benutzerkonto, das Computerobjekte ins AD aufnimmt muss kein Domänenadmin sein.

Im Netz gibt es viele Anleitungen dazu. Im folgenden zeige ich das Setzen von Berechtigungen für einen bestimmten Benutzer der Computerobjekte in die Domäne aufnehmen soll mit einem Powershell Script.

Am DC einen Benutzer MDT_JD anlegen.

Powershell Script ausführen:

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Set-Location C:\!Scripts
.\Set-OUPermissions.ps1 -Account MDT_JD -TargetOU "OU=Workstations,OU=Computers,OU=Winxperts"

 Das Script erlaubt dem Benutzer "MDT_JD" Computerobjekte in der OU "Workstations" zu erstellen und setzt dabei folgende Rechte:

1.Scope: This object and all descendant objects
Create Computer objects
Delete Computer objects
2.Scope: Descendant Computer objects
Read All Properties
Write All Properties
Read Permissions
Modify Permissions
Change Password
Reset Password
Validated write to DNS host name
Validated write to service principal name

Bei meinen Recherchen zu diesem Thema bin ich auch auf ein super Powershell Script gestoßen, das einen Report zu allen gesetzten Rechten im AD generieren kann.

Update am 04.07.2017: Neuer Link, da die Codeplex Seite geschlossen wurde: ADACLScan

 

Quelle:  Technet Configure permissions in Active Directory for Windows deployment account

                https://adaclscan.codeplex.com/

Copyright © winxperts4all.com. All Rights Reserved.