Geschichte von verschachtelten AD-Sicherheitsgruppen und ConfigMgr

Es kommt immer wieder vor, dass Administratoren die Frage „Welchen Gruppen gehört ein Benutzer an?“ beantworten müssen. Normalerweise öffnest du die Aktive Verzeichnisse Benutzer und Computer (ADUC)-Konsole, suchen Sie den betreffenden Benutzer und suchen Sie auf der Mitglied von Registerkarte, oder? Was passiert jedoch, wenn Ihr Unternehmen über verschachtelte AD-Sicherheitsgruppen verfügt? Was hat das jetzt vielleicht mit Configuration Manager (ConfigMgr) zu tun? Nun, die Antwort auf diese Frage ist, worum es in dieser Geschichte geht.

Verschachtelte AD-Sicherheitsgruppen - AD

Ich verwende GartekMorgan für dieses Beispiel. Dies ist das Benutzerkonto, das ich zum Testen verwende, und es ist normalerweise ein Benutzerkonto mit geringen Rechten. Um das Problem zu erklären, habe ich Morgan jedoch vorübergehend zur Sicherheitsgruppe der Domänen-Admins hinzugefügt. Wenn ich Active Directory (AD) überprüfe, sehe ich, dass Morgan nur zwei Gruppen angehört (siehe Screenshot oben), „Domain Admins“ und „Domain Users“, oder doch? Das muss ich mir mal genauer anschauen.

ConfigMgr und AD-Sicherheitsgruppen

Verschachtelte AD-Sicherheitsgruppen – Ermittlungsmethoden

Jeder ConfigMgr-Administrator weiß, dass es in der Konsole mehrere Erkennungsmethoden gibt. Für die Zwecke dieses Blogbeitrags spreche ich von Active Directory-Gruppenermittlung, Active Directory-Systemerkennung und Active Directory-Benutzererkennung. Diese drei Discovery-Methoden (wie ihre Namen vermuten lassen) finden Computer, Benutzer und Gruppenmitgliedschaften innerhalb von AD. Dies bedeutet, dass Sie nach dem Aktivieren dieser Ermittlungsmethoden mithilfe der ConfigMgr-Berichterstellung herausfinden können, wer zu einer beliebigen AD-Sicherheitsgruppe gehört. Ja, das ist richtig!

Sie fragen sich vielleicht immer noch: „Was hat das mit verschachtelten Gruppen und ConfigMgr zu tun?“ Dazu komme ich gleich.

Ich wusste, dass, als ich Morgan vorübergehend zur Sicherheitsgruppe der Domänen-Admins hinzufügte, er als Mitglied zahlreicher Gruppen erscheinen sollte. Können Sie jetzt verstehen, warum ich tiefer graben musste, um herauszufinden, warum ADUC Morgan nur als Mitglied von zwei AD-Sicherheitsgruppen anzeigte? Ist etwas schief gelaufen?

Verschachtelte AD-Sicherheitsgruppen und ConfigMgr

Verschachtelte AD-Sicherheitsgruppen – Eigenschaften von Domänenadministratoren

Ich kann Sie mit der schrittweisen Hintergrundgeschichte langweilen, aber jetzt ist nicht der richtige Zeitpunkt. Stattdessen haben das Enhansoft-Team und ich das herausgefunden. Wenn du dir das ansiehst Eigenschaften von Domänenadministratoren, sehen Sie, dass diese AD-Sicherheitsgruppe zu 15 zusätzlichen AD-Sicherheitsgruppen gehört. Ich werde sie hier nicht alle auflisten!

Wieso kümmert es dich?

Die ADUC-Konsole zeigte Morgan nur als Mitglied von zwei AD-Sicherheitsgruppen an, da verschachtelte Gruppen bei der Meldung von Benutzermitgliedschaften nicht berücksichtigt werden. ConfigMgr hingegen erkennt, dass die Sicherheitsgruppe Domänen-Admins Mitglied von 15 anderen Gruppen ist, und meldet daher korrekt, dass jeder Benutzer, der zur Sicherheitsgruppe Domänen-Admins gehört, auch Mitglied dieser 15 Gruppen ist.

Ich weiß, dass ich den Prozess zu stark vereinfache. Wahrscheinlicher ist, dass ConfigMgr die Sicherheitstoken überprüft, aber dieser Prozess würde zu lange dauern, um ihn in diesem Blogbeitrag zu erklären. Jemand müsste auch ein Mitglied des Produktteams bitten, den Code zu überprüfen, um den Prozess vollständig zu erklären. Letztlich interessiert mich als Berichterstatter nur das Endergebnis und nicht, wie wir unbedingt dorthin gekommen sind. Zumindest diesmal nicht!

Liste der Sicherheitsgruppen für einen AD-Benutzer

Während des gesamten Monats April 2020 [dieses Angebot ist nicht mehr verfügbar] verschenkt Enhansoft einen Bericht namens Liste der Sicherheitsgruppen für einen AD-Benutzer. Wir tun dies, um Administratoren das Nachschlagen zu erleichtern, zu welchen AD-Sicherheitsgruppen ein Benutzer gehört.

Falls Sie sich fragen, wir erstellen nicht einfach einen Bericht und senden ihn in die Welt. Zuerst stellen wir sicher, dass es ein echtes Problem ist, spezifische Informationen von ConfigMgr in einen Bericht zu übertragen (in diesem Fall war es das) und dann, nachdem der Bericht erstellt wurde, testen, testen und testen wir. Die Ergebnisse müssen immer korrekt sein. Es gibt keinen Raum für Fehler.

Verschachtelte AD-Sicherheitsgruppen – Liste der Sicherheitsgruppen für einen AD-Benutzer – Power BI

Verschachtelte AD-Sicherheitsgruppen – Liste der Sicherheitsgruppen für einen AD-Benutzer – SSRS

Was bedeutet das für Sie? Einfach ausgedrückt, wenn Sie die Liste der Sicherheitsgruppen für einen AD-Benutzer Bericht oder einer der anderen von Enhansoft Lokaler Administrator Berichte, verschachtelte Gruppen sind enthalten, sodass Sie ein vollständiges Bild erhalten! Dies ist ein großer Vorteil für Sie, da Sie nicht mehr die Mitgliedschaft jeder einzelnen AD-Sicherheitsgruppe überprüfen müssen. Jede Gruppe für jeden Benutzer ist genau dort für Sie aufgelistet. Wenn Sie sich die Mitgliedschaft einer AD-Sicherheitsgruppe ansehen, sehen Sie in ähnlicher Weise nicht nur die verschachtelten Sicherheitsgruppen, sondern auch die Mitglieder jeder verschachtelten Gruppe! Sagen Sie mir, wäre Ihr Sicherheitsteam damit zufrieden?

Bei Fragen zu verschachtelten AD-Sicherheitsgruppen und ConfigMgr können Sie sich gerne an mich wenden @GarthMJ, oder wenn Sie diesen Bericht erwerben möchten, wenden Sie sich bitte an unsere Verkaufsteam für mehr Informationen.

Sehen Sie, wie Right Click Tools die Art und Weise verändert, wie Systeme verwaltet werden.

Steigern Sie sofort die Produktivität mit unserer limitierten, kostenlos nutzbaren Community Edition.

Starten Sie noch heute mit Right Click Tools:

Teile das:

Support

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Kontakt

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
de_DEGerman