Tags: Sicherheit, Active Directory, Rechteverwaltung
Microsoft führte mit Windows Server 2008 ein Feature ein, das Administratoren hindert, ganze OUs oder Gruppen versehentlich zu entfernen. Allerdings erhalten nur wenige Objekte beim Anlegen automatisch diese Einstellung, so dass es sinnvoll ist, wenn man sie selbst verwaltet.
Auch wenn sich die Möglichkeiten zur Wiederherstellung von gelöschten Objekten dank des AD-Papierkorbs verbessert haben, ist das ungeplante Entfernen ganzer OUs einschließlich der darin enthaltenen User oder Computer immer noch ein größerer Unfall. Ein beliebtes Werkzeug für das unabsichtliche Abräumen von OUs ist die Gruppenrichtlinienverwaltung, der viele Administratoren eine solche Fähigkeit nicht zutrauen.
Eintrag in der ACL
Standardmäßig erhalten neue Organisationeinheiten den Schutz gegen versehentliches Löschen, wenn man sie in Active Directory-Benutzer und -Computer oder im AD-Verwaltungscenter anlegt. Diese Eigenschaft bleibt auf die betreffende OU beschränkt und vererbt sich nicht auf die darin enthaltenen Objekte.
Dieser Schutz vor zufälligem Löschen beruht auf keinem neuen Attribut für AD-Objekte, vielmehr handelt es sich um eine zusätzliche Option in den AD-Tools, um der Gruppe Jeder das Löschrecht für OUs, Gruppen oder User zu verweigern.
Objekte in AD-Benutzer und -Computer schützen
Möchte man nur einzelne OUs oder Gruppen schützen, dann eignen sich die genannten GUI-Tools, um das unbeabsichtigte Löschen der Objekte zu verhindern. In Active Directory-Benutzer und -Computer öffnet man zu diesem Zweck den Dialog Eigenschaften im Kontextmenü eines Containers und wechselt zur Registerkarte Objekt.
Dort findet sich die Checkbox Objekt vor zufälligem Löschen schützen. Anschließende Versuche, eine solche OU oder Gruppe zu entfernen, scheitern an der fehlenden Berechtigung.
Soll ein eine OU oder eine Gruppe irgendwann wirklich entfernt werden und wurde sie gegen das versehentliche Löschen geschützt, dann muss man erst diesen Schutz entfernen. Anschließend lässt sie sich von Benutzern eliminieren, die mit den entsprechenden Rechten ausgestattet sind.
Geschützte Objekte in ADAC anzeigen
Umfasst das AD eine Vielzahl von OUs, Gruppen oder Benutzern, dann möchte man wahrscheinlich erst einen Überblick erhalten, welche Objekte bereits geschützt sind. Auf viele der Standard-Container wie Domain Controllers, Computer oder Users trifft das nicht zu, und normalerweise auch nicht auf solche, die per Bulk-Import erzeugt wurden.
Für einzelne Objekte kann man im AD-Verwaltungscenter relativ leicht anzeigen, ob der Schutz gegen das Löschen aktiviert wurde. Diese Information findet man in den Eigenschaften einer OU oder einer Gruppe. Bei Bedarf kann man diese Einstellung hier auch gleich setzen.
Geschützte Objekte auslesen mit PowerShell
Das in Windows Server 2012 und RSAT für Windows enthaltene PowerShell-Modul für Active Directory bietet die Mittel, um die Eigenschaft ProtectedFromAccidentalDeletion auszulesen und zu setzen. Folgendes Beispiel listet alle OUs auf, die nicht gegen das zufällige Löschen geschützt sind:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion |
where {$_.ProtectedFromAccidentalDeletion -eq $false} |
select DistinguishedName
Eine Einschränkung auf die gewünschten Objekte mit Hilfe des Parameters -Filter ist übrigens nicht möglich, weil er das erweiterte Attribut ProtectedFromAccidentalDeletion in einer Abfrage nicht unterstützt. Im Fall von Gruppen oder Benutzern würde man im obigen PowerShell-Kommando das Cmdlet Get-ADOrganizationalUnit durch Get-ADGroup bzw. Get-ADUser ersetzen.
Schutz gegen Löschen mit PowerShell setzen
PowerShell erweist sich den GUI-Tools als überlegen, wenn man eine größere Zahl von Objekten modifizieren möchte. Um alle OUs einer Domäne gegen das versehentliche Löschen zu schützen, ruft man
Get-ADOrganizationalUnit -filter * |
Set-ADObject -protectedFromAccidentalDeletion $true
auf. Wenn man vor der Ausführung des Kommandos wissen möchte, welche OUs betroffen sind, dann sollte man es erst mit dem zusätzlichen Parameter -whatif starten. Auch dieser Befehl lässt sich leicht so modifizieren, dass er auf Gruppen oder User angewandt wird, indem man wie oben das Cmdlet Get-ADOrganizationalUnit gegen Get-ADGroup bzw. Get-ADUser austauscht.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- CyberArk schützt in Echtzeit Accounts von Active Directory
- Häufige Missverständnisse zu Gruppenrichtlinien
- Die Active-Directory-Rechteverwaltungsdienste
- Active Directory in Windows Server 2025: Neue Funktionsebene, leistungsfähigere Datenbank, Security-Verbesserungen
- Zugriff auf Domain Controller über lokale Richtlinien absichern
Weitere Links
1 Kommentar
Danke für diesen guten Artikel.