Logo faq-o-matic.net
Logo faq-o-matic.net

Gruppe “Prä-Windows 2000 kompatibler Zugriff” per Skript leeren

21 Juni 2010
von veröffentlicht am21. Juni 2010, 08:49 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Sicherheit, VBScript   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Die Gruppe “Prä-Windows 2000 kompatibler Zugriff” ist in der ersten Version von Active Directory unter Windows 2000 eingeführt worden, um die Kompatibilität des AD mit einigen Anwendungen aus Windows NT 4.0 zu gewährleisten. Mit Hilfe dieser Gruppe war es möglich, anonymen Zugriff auf einige AD-Daten zu gewähren.

Diese Gruppe hat auf viele Objekte in AD Lese-Zugriffsrechte. Sie ist als Container gedacht: Unter Windows 2000 wurde in diese Gruppe die Pseudogruppe “Jeder” eingefügt, die seinerzeit auch anonyme Benutzer umfasste (also solche, die sich nicht an AD angemeldet haben). In späteren AD-Versionen wurde diese Mitgliedschaft auf die Pseudogruppe “Authentifizierte Benutzer” geändert, weil die alte Regelung erhebliche Sicherheitsprobleme nach sich zog. (Parallel wurde übrigens mit SP2 für Windows XP auch die Gruppe “Jeder” verändert: Seitdem umfasst “Jeder” nicht mehr die anonymen Benutzer – damit ist sie faktisch gleichbedeutend mit “Authentifizierte Benutzer”. Man könnte jetzt einwenden, dass die Funktion der Gruppe “Prä-Windows 2000 kompatibler Zugriff” damit verschwunden ist – und hätte Recht mit dem Einwand.)

Obwohl Microsoft empfiehlt, dass der Gruppe “Prä-Windows 2000 kompatibler Zugriff” keine Mitglieder sein sollten, definiert auch ein frisch installierter Windows Server 2008 R2 in einem neuen AD die “Authentifizierten Benutzer” als Mitglied. Diese Tatsache kann sehr hinderlich sein, wenn man das AD mit angepassten AD-Zugriffsrechten absichern möchte.

Es ist nun ein Einfaches, die Gruppe manuell zu leeren. Man kann das aber auch mit einem Skript automatisieren und so in AD-Standardinstallationen einfließen lassen. Das folgende Skript erledigt das.

Damit das Skript auch auf nicht-deutschen Systemen funktioniert, spricht es die Gruppe über ihren SID an. Dieser gehört zu den sog. “Well-known SIDs” und ist auf jedem System identisch.

[Bekannte Sicherheits-IDs in Windows-Betriebssystemen]
http://support.microsoft.com/kb/243330

Das Leeren der Gruppe erfolgt hier einfach mit dem Holzhammer: Das Skript leert das ganze “member”-Attribut der Gruppe auf einen Schlag.

[Remove All the Members of a Group]
http://gallery.technet.microsoft.com/ScriptCenter/en-us/2cb9b454-13ad-4eb5-a6b2-4ffb55e7d796

 

  1. ‚ Dieses Skript entfernt alle Mitglieder aus der Gruppe "Prä-Windows 2000 kompatibler Zugriff"
  2. Const ADS_PROPERTY_CLEAR = 1
  3.  
  4. ‚ SID der Gruppe – wichtig in fremdsprachigen Umgebungen
  5. strPW2SID = "S-1-5-32-554"
  6.  
  7. ‚ Gruppe anhand des SID finden
  8. Set objPW2Group = GetObject("LDAP://<SID=" & strPW2SID & ">")
  9. strPW2DN = objPW2Group.Get("distinguishedName")
  10.  
  11. WScript.Echo "Lokalisierter DN der Gruppe: " & strPW2DN
  12. WScript.Echo "Aktuelle Mitglieder:"
  13. On Error Resume Next
  14. arrMembers = objPW2Group.GetEx("member")
  15. If Err.number <> 0 Then
  16.     WScript.Echo "- Keine Mitglieder."
  17.     WScript.Quit
  18. End If
  19.  
  20. For Each member In arrMembers
  21.     WScript.Echo "- " & member
  22. Next
  23. WScript.Echo vbNewLine & "Entferne alle Mitglieder …"
  24.  
  25. objPW2Group.PutEx ADS_PROPERTY_CLEAR, "member", 0
  26. objPW2Group.SetInfo
  27. If Err.number <> 0 Then
  28.     WScript.Echo "Fehler: " & Err.number & " (" & Err.Description & ")"
  29.     WScript.Quit
  30. End If
  31. On Error Goto 0
  32.  
  33. WScript.Echo "Fertig."

Anwendung wie immer auf eigene Gefahr. Kein Support.

Verwandte Beiträge:

  1. Mitglieder einer AD-Gruppe mit Zusatzdaten ausgeben
    MItglieder einer Gruppe werden in Active Directory an zwei Stellen hinterlegt. Die maßgebliche Stelle, die aktiv geändert wird, wenn man...
  2. Wie kann ich die Mitglieder einer Gruppe in eine Datei schreiben?
    Natürlich gibt es auch hierzu mehrere (kostenlose) Möglichkeiten – hier eine (unvollständige) Auswahl einiger Bordmittel. Achtung, mit Ausnahme des "dsget"-Beispiels...
  3. Warum kann ich einen User nicht mit dem "memberOf"-Attribut einer Gruppe hinzufügen?
    Das Feld "memberOf" ist ein sog. "Backlink"-Feld, das zur Abfragezeit berechnet wird. Sein Wert setzt sich "rückwärts" aus den Gruppenmitgliedschaften...
  4. AD-Informationen schnell auslesen
    Neben eineAm klassischen ADSI-Skript gibt es eine relativ einfache Möglichkeit, Informationen aus dem Active Directory auszulesen. Hierzu lässt sich das...
  5. AD: “Domänen-Benutzer” per LDAP abfragen
    Wer per LDAP (oder auch per ADSI) die Mitglieder bestimmter Gruppen abfragen möchte, nutzt dafür das Feld “member” der jeweiligen...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=2459
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!