[AD] user object security probleem - Serversoftware en clouddiensten

vrijdag 6 februari 2009 13:29

Acties:

23

Topicstarter

In een netwerk met 2 domeincontrollers(Windows 2003) heb ik het volgende probleem:
Door onbekende oorzaak hebben Account operators geen rechten op een groot aantal user objects. Met onderstaand script kan ik per OU goed zetten:

code:

Const ADS_ACETYPE_ACCESS_ALLOWED = &H0
Const ADS_FLAG_OBJECT_TYPE_PRESENT = &H1
Const ADS_FLAG_INHERITED_OBJECT_TYPE_PRESENT = &H1
Const ADS_RIGHT_GENERIC_ALL = &H10000000

Set objOU = GetObject("LDAP://ou=PC,ou=AfdelingNaam,ou=User,ou=DSGOR,dc=domeintje,dc=nl")               'specify OU
'Set objOU = GetObject("LDAP://ou=Administrators,dc=domeintje,dc=nl")               'specify OU
objOU.Filter = Array("user")

FOR EACH objUser in objOU
    Set objSD = objUser.Get("ntSecurityDescriptor")
    Set objDACL = objSD.DiscretionaryACL
    Set objAce = CreateObject("AccessControlEntry")
    objAce.Trustee = "Account Operators"                            'which group to add
    objAce.AceFlags = 0                                     'inherit setting
    objAce.AceType = ADS_ACETYPE_ACCESS_ALLOWED             'edit standard(no special) priveleges
    objAce.Flags = ADS_FLAG_OBJECT_TYPE_PRESENT             'The ObjectType field is present in the ACE
    objAce.AccessMask = ADS_RIGHT_GENERIC_ALL               'allow all
    objDacl.AddAce objAce                           
    objSD.DiscretionaryAcl = objDacl
    objUser.Put "ntSecurityDescriptor", Array(objSD)
    objUser.SetInfo
Next
MsgBox "Script ready!"

Dit script werkt perfect. Echter na +/- een half uur staan de rechten weer hetzelfde. De Account Operators groep is weer helemaal verdwenen.

Dit is geld voor ongeveer de helft van alle gebruikers, de andere zijn gewoon goed. Ik kan geen structureel verschil ontdekken tussen de users waarbij het wel goed gaat en die andere waar het niet goed gaat. Ook zit het per OU gemixed.

Na zelf zoeken ben ik erachter gekomen dat dit normaal gedrag is voor users lid van een aantal default groepen(b.v. Domain admins). Echter dit is hier niet het geval, de users zijn alleen lid van Domain Users en een aantal zelf gedefinieerde groepen.

Een ander apart verhaal is dat op een virtueel(vmware) testkopie van de PDC dit probleem niet optreed. Wel het missen van de "Account operator" groep maar hier blijven de wijzigingen die het script doet wel behouden.

Mijn vragen:

Iemand enig idee wat hier aan de hand is?
Draait er iets dat dit zou kunnen doen? Zo ja, kan ik dit ook handmatig starten?

edit: ik ben er net achter dat als ik de "Account operators" groep handmatig toevoeg met FC rechten dat deze ook automatisch weer verdwijnt. Ik zou dus zeggen dat het niet aan het script ligt en dus een AD probleem is.

edit2:
Ik zie net iets, er mist 1 vinkje als ik de groep handmatig of met scipt toevoeg:

Afbeeldingslocatie: http://img12.imageshack.us/img12/2043/problemaccountoperatorsyc0.th.jpg

Het vreemde is wel dat als ik via advanced naar de special permissions(die dus in het hoofdscherm staan uitgevinkt) ga kijken, dat deze wel allemaal op allow staan:

Afbeeldingslocatie: http://img13.imageshack.us/img13/825/specialpermissionshg0.th.jpg

zo ziet het eruit voor de user objects die wel intact blijven(en waarbij de Account Operators groep waarschijnlijk default is aangemaakt):

Afbeeldingslocatie: http://img443.imageshack.us/img443/2118/standardaccountoperatorcm9.th.jpg

[ Voor 21% gewijzigd door borgdaville op 06-02-2009 14:59 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

vrijdag 6 februari 2009 14:38

Acties:

alt-92

ye olde farte

borgdaville schreef op vrijdag 06 februari 2009 @ 13:29:
Dit script werkt perfect. Echter na +/- een half uur staan de rechten weer hetzelfde. De Account Operators groep is weer helemaal verdwenen.

Dan heb je een Group Policy lopen die dit automatisch refreshed.
Staat er ook nog Exchange geinstalleerd soms?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 6 februari 2009 14:58

Acties:

borgdaville

23

Topicstarter

alt-92 schreef op vrijdag 06 februari 2009 @ 14:38:
[...]
Dan heb je een Group Policy lopen die dit automatisch refreshed.
Staat er ook nog Exchange geinstalleerd soms?

ik heb ergens op GoT gelezen(linkje) dat de Security tab niet door Policies wordt beïnvloed. En ja we draaien ook Exchange. Er zitten nog 2 exchange servers in dit domein/netwerk.

ps: ik heb 2 edits in de hoofdpost gezet met wat extra informatie en plaatjes

[ Voor 17% gewijzigd door borgdaville op 06-02-2009 15:11 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

maandag 9 februari 2009 08:39

Acties:

borgdaville

23

Topicstarter

een maandagmorgen kickje!

NIeuwe week! Nieuwe kansen?

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

maandag 9 februari 2009 16:52

Acties:

brid

Onze excuses voor het ongemak

Zie dat je users niet in de standaard ou staan, heb je wel een delegation voor account beheer op deze ou?
Je zou je eigen groep aan kunnen maken en deze via delegation de juiste rechten kunnen geven.

Ook zou je kunnen loggen wie de rechten veranderd, dan heb je teminste een idee waar je het moet zoeken.

DIY NAS, Hoofd PC
Unchain your pc/laptop, buy a SSD!!!!!

maandag 9 februari 2009 16:59

Acties:

borgdaville

23

Topicstarter

brid schreef op maandag 09 februari 2009 @ 16:52:
Zie dat je users niet in de standaard ou staan, heb je wel een delegation voor account beheer op deze ou?
Je zou je eigen groep aan kunnen maken en deze via delegation de juiste rechten kunnen geven.

ik ben Domain Admin, dan heb ik toch overal rechten? De rechten toepassen is ook geen probleem, ze veranderen na ongeveer een half uurtje vanzelf weer.

Ook zou je kunnen loggen wie de rechten veranderd, dan heb je teminste een idee waar je het moet zoeken.

Bedoel je dit: How to configure Active Directory diagnostic event logging in Windows Server 2003 and in Windows 2000 Server?

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

maandag 9 februari 2009 19:52

Acties:

sanfranjake

Computers can do that?

Ik denk dat je hier last van hebt:
Delegated permissions are not available and inheritance is automatically disabled
The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server

[ Voor 7% gewijzigd door sanfranjake op 09-02-2009 19:56 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 10 februari 2009 16:56

Acties:

borgdaville

23

Topicstarter

sanfranjake schreef op maandag 09 februari 2009 @ 19:52:
Ik denk dat je hier last van hebt:
Delegated permissions are not available and inheritance is automatically disabled
The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server

het lijkt indd iets met die eerste te maken te hebben, door de "Internal Processing" logging op basic te zetten komt deze event naar boven:

Event Type: Information
Event Source: NTDS SDPROP
Event Category: Internal Processing
Event ID: 1257
Date: 10-2-2009
Time: 16:15:35
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: DC1
Description:
Internal event: The security descriptor propagation task is processing a propagation event starting from the following container.

Container:
CN=User Name,OU=Test,OU=Administrators,DC=domeintje,DC=nl

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Vreemd is wel dat dit ook gebeurt op accounts die geen lid zijn van een "Protected group" gebeurt. Dus het is niet helemaal zoals staat beschreven in dat 817433 atikel.

Suggesties zijn nog steeds welkom.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

dinsdag 10 februari 2009 16:59

Acties:

sanfranjake

Computers can do that?

Zijn ze ook niet via via lid van zo'n groep? Dat een groep waar zij lid van zijn lid is van zo'n groep?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 10 februari 2009 17:13

Acties:

borgdaville

23

Topicstarter

sanfranjake schreef op dinsdag 10 februari 2009 @ 16:59:
Zijn ze ook niet via via lid van zo'n groep? Dat een groep waar zij lid van zijn lid is van zo'n groep?

Nee, het simpelste gebruiker object met deze problemen is alleen lid van "Domain Users" en een zelfgemaakte printergroep.

Helaas kan ik het niet helemaal testen met een nieuwe gebruiker, omdat dit gewoon goed gaat. Een standaard nieuwe user heeft gewoon "Account operators" op het security tab.

Waarom dit bij sommige gebruikers niet het geval is blijft onduidelijk.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

woensdag 11 februari 2009 11:52

Acties:

borgdaville

23

Topicstarter

iemand met hetzelfde probleem maar dan met Windows 2000(maar lijkt niet echt van belang): http://www.experts-exchan...dows/2000/Q_21472499.html (je moet helemaal naar beneden scrollen om de reacties te zien)

veel informatie, maar helaas geen oplossing.

[ Voor 12% gewijzigd door borgdaville op 11-02-2009 14:16 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

donderdag 12 februari 2009 16:06

Acties:

borgdaville

23

Topicstarter

ik zit hier dus nog steeds mee te stoeien, ik ben langzaam wel weer wat wijzer geworden.

De hotfix in Delegated permissions are not available and inheritance is automatically disabled is niet van toepassing, omdat deze al is toegepast met SP1. Alle servers zijn up-to-date(SP2).

De "security propagation task"(event id: 1257, source: NTDS SDPROP) veroorzaakt eens per uur dit "probleem"(het verwijderen van de account operators op de security tab van het user object). Dit gedrag is normaal voor user objects in protected groups(Administrators, Account Operators, Server Operators, Print Operators, Backup Operators, Domain Admins, Schema Admins, Enterprise Admins, Cert Publishers). Echter hij doet dit ook voor bepaalde(willekeurig, niet allemaal) user objects die niet lid zijn van een protected group.

Deze Windows 2003 omgeving is een gemigreerde omgeving van 2000, ik weet niet of dit meespeelt maar ik vermeld het er gewoon bij. Ik hoop dat er bij iemand een belletje gaat rinkelen...

Iets wat ik me nog afvraag:
is er een manier om user objects te checken(programma/tooltje/commandline command), om er veel extra informatie over te krijgen. B.v. welke groepen ze lid van zijn, direct en via-via. Ik zou graag eens een user object dat goed werkt te vergelijken met een user object met deze problemen. Ik heb dit uiteraard al handmatig gecontroleerd, maar Windows/AD denkt om de een of andere reden dat deze users objects wel lid zijn van een protected group.

[ Voor 4% gewijzigd door borgdaville op 12-02-2009 16:07 ]

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

donderdag 12 februari 2009 18:37

Acties:

alt-92

ye olde farte

borgdaville schreef op donderdag 12 februari 2009 @ 16:06:

Iets wat ik me nog afvraag:
is er een manier om user objects te checken(programma/tooltje/commandline command), om er veel extra informatie over te krijgen. B.v. welke groepen ze lid van zijn, direct en via-via. Ik zou graag eens een user object dat goed werkt te vergelijken met een user object met deze problemen. Ik heb dit uiteraard al handmatig gecontroleerd, maar Windows/AD denkt om de een of andere reden dat deze users objects wel lid zijn van een protected group.

Je kan via de Scripting Center diverse stukken achterhalen waarmee je alle AD-specifieke flags van een op te geven group kan loggen.

Die groep is niet ooit een keer renamed of genest waardoor ie andere AD attributen heeft meegekregen?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 13 februari 2009 14:10

Acties:

borgdaville

23

Topicstarter

alt-92 schreef op donderdag 12 februari 2009 @ 18:37:
[...]

Je kan via de Scripting Center diverse stukken achterhalen waarmee je alle AD-specifieke flags van een op te geven group kan loggen.

Ik heb met EZADScriptomatic een heleboel informatie van 2 users(1 goede en 1 met problemen) vergeleken, maar dit is nog te beperkt, ik zie geen verschillen. Iets om die flags uit te lezen heb ik nog niet gevonden.

Die groep is niet ooit een keer renamed of genest waardoor ie andere AD attributen heeft meegekregen?

Niet dat ik weet, maar het is erg random, het is niet zo dat ik 1 groep kan specificieren die de problemen veroorzaakt.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

vrijdag 13 februari 2009 16:21

Acties:

borgdaville

23

Topicstarter

borgdaville schreef op vrijdag 13 februari 2009 @ 14:10:
[...]

Ik heb met EZADScriptomatic een heleboel informatie van 2 users(1 goede en 1 met problemen) vergeleken, maar dit is nog te beperkt, ik zie geen verschillen. Iets om die flags uit te lezen heb ik nog niet gevonden.

ik heb een beetje moeite met googlen op dit, googlen op: ad flags user objects(en heel veel andere pogingen) leveren geen voor mij relevante resultaten op.

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...

vrijdag 13 februari 2009 19:01

Acties:

alt-92

ye olde farte

http://msdn.microsoft.com/en-us/library/ms675090(VS.85).aspx

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 25 februari 2009 10:42

Acties:

borgdaville

23

Topicstarter

beste mensen, bij deze wil ik dit topic nog een keer een schop geven.

Het probleem is er dus nog steeds, als ik de AD attributen vergelijk van een user die goed gaat en eentje die niet goed gaat dan is er geen verschil te ontdekken.

Ik heb een tijdje gedacht dat AD onterecht dacht dat deze users met problemen in een protected groep zaten, maar daar begin ik ook aan te twijvelen. Omdat 2 gebruikers met dezelfde groeplidmaatschappen niet per se dezelfde problemen hebben.

Zijn er nog mensen met verse ideeen?

Familieman, nerd, mooi weer fietser, buitenmens en levensgenieter...