0
Active Directory - Zertifikatherausgeber (Cert Publishers) und AdminSDHolder
Hi,
in allen betreffenden Quellen, welche ich bisher gefunden habe, steht, dass der Schutzmechanismus für die ACLs der geschützten AD-Gruppen ("AdminSDHolder") auch für die Gruppe "Zertifikatherausgeber" ("Cert Publishers") gilt. Nur bei uns im AD funktioniert die Übernahme der ACL nicht.
Wir haben in unseren Domänen die ACL der Container
unseren Anforderungen angepasst.
Alle einschlägigen Gruppen (Administratoren, Domänen-Admins, Schema-Admins, Organisations-Admins, usw. ...) haben diese ACL auch automatisch übertragen bekommen.
Bis auf die "Zertifikatherausgeber" ("Cert Publishers"). Diese bekommen - immer wieder? - eine andere Standard-ACL übergebügelt. Bloß welche? Wo kommt die her?
Da in dieser anderen ACL auch eine unbekannte SID enthalten ist, welche keine Wellknown-SID ist und von welcher ich ausgehe, dass diese zu einer/m ehemals vorgandene/n Gruppe oder Benutzer gehört, gehe ich ebenso davon aus, dass auch diese andere ACL irgendwo im AD konfiguriert sein muss.
Weiß jemand, wo ich die Standard-ACL für die "Zertifikatherausgeber" ("Cert Publishers") ändern muss/kann, analog "AdminSDHolder"?
Es betrifft alle Domänen in unserem Forest.
E.
Edit
Ich sehe gerade, dass es eine Domäne gibt, bei welcher die ACL-Vererbung an deren Gruppe "Zertifikatherausgeber" aktiviert ist, was ein Zeichen dafür ist, dass hier der AdminSDHolder-Schutz gar nicht greift. (nicht mehr?)
Weiß jemand, ob von Microsoft das Verhalten für diese Gruppe geändert wurde?
in allen betreffenden Quellen, welche ich bisher gefunden habe, steht, dass der Schutzmechanismus für die ACLs der geschützten AD-Gruppen ("AdminSDHolder") auch für die Gruppe "Zertifikatherausgeber" ("Cert Publishers") gilt. Nur bei uns im AD funktioniert die Übernahme der ACL nicht.
Wir haben in unseren Domänen die ACL der Container
CN=AdminSDHolder,CN=System,DC=domain,DC=tldAlle einschlägigen Gruppen (Administratoren, Domänen-Admins, Schema-Admins, Organisations-Admins, usw. ...) haben diese ACL auch automatisch übertragen bekommen.
Bis auf die "Zertifikatherausgeber" ("Cert Publishers"). Diese bekommen - immer wieder? - eine andere Standard-ACL übergebügelt. Bloß welche? Wo kommt die her?
Da in dieser anderen ACL auch eine unbekannte SID enthalten ist, welche keine Wellknown-SID ist und von welcher ich ausgehe, dass diese zu einer/m ehemals vorgandene/n Gruppe oder Benutzer gehört, gehe ich ebenso davon aus, dass auch diese andere ACL irgendwo im AD konfiguriert sein muss.
Weiß jemand, wo ich die Standard-ACL für die "Zertifikatherausgeber" ("Cert Publishers") ändern muss/kann, analog "AdminSDHolder"?
Es betrifft alle Domänen in unserem Forest.
E.
Edit
Ich sehe gerade, dass es eine Domäne gibt, bei welcher die ACL-Vererbung an deren Gruppe "Zertifikatherausgeber" aktiviert ist, was ein Zeichen dafür ist, dass hier der AdminSDHolder-Schutz gar nicht greift. (nicht mehr?)
Weiß jemand, ob von Microsoft das Verhalten für diese Gruppe geändert wurde?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 471453
Url: https://administrator.de/contentid/471453
Printed on: April 24, 2024 at 12:04 o'clock
