Logo faq-o-matic.net
Logo faq-o-matic.net

AD-Trusts per Skript einrichten

11 Dez 2018
von veröffentlicht am11. Dezember 2018, 06:15 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Scripting, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

In einem Kundenprojekt brauche ich eine Lösung, eine Vertrauensstellung zwischen zwei Domänen in getrennten Forests mit bestimmten Einstellungen zu erzeugen. Da zu dem Projekt auch intensive Laborarbeiten und eine Qualitätssicherung mit hohem Anspruch gehören, muss die gesamte Einrichtung der Umgebung so weitgehend wie möglich mit Skripten geschehen.

In der PowerShell gibt es für AD-Vertrauensstellungen leider immer noch nur sehr wenig Unterstützung. Die Wahl fiel daher auf das Kommandozeilentool NETDOM, das schon seit vielen Jahren Bestandteil von Windows ist. Der Trust soll in meinem Fall nur einseitig sein (Domäne A vertraut Domäne B, aber nicht umgekehrt) und mit der “Authentication Firewall” arbeiten, also nur Zugriffe auf ganz bestimmte Rechner erlauben (auch bekannt als “Selective Authentication”). Der Syntaxbeschreibung nach beherrscht NETDOM diese Einstellungen mit Kommandozeilenschaltern.

Wie sich allerdings herausstellte, scheint NETDOM an einer wichtigen Stelle fehlerhaft zu sein (getestete Version: Windows Server 2016). Der Trust wurde mit folgender Zeile nur scheinbar richtig erzeugt:

NETDOM TRUST %GOLD% /Domain:%RED% /UserD:%RedUser% /PasswordD:%TrustAdminPW% /Add /EnableSIDHistory:no /SelectiveAUTH:yes

Tatsächlich funktioniert hier der Schalter /SelectiveAUTH nicht, der Trust stand auf der Standardeinstellung “Domänenweite Authentifizierung”. Verschiedene Test zeigten, dass der Schalter offenbar überhaupt nichts macht.

image

So sollte es nicht sein: Der Schalter „/SelectiveAUTH:yes” hätte die untere Option setzen müssen

In einem Blogartikel fand ich eine Möglichkeit, AD-Trusts ohne spezielle Cmdlets mit der PowerShell zu bearbeiten:

[Active Directory Trusts PowerShell – It for DummiesIt for Dummies]
https://itfordummies.net/2015/11/02/active-directory-trusts-powershell/

Kurzerhand ergänzte ich mein Skript um eine zweite Zeile, die nach dem grundlegenden NETDOM-Kommando den Authentifizierungsmodus per PowerShell ändert:

NETDOM TRUST %GOLD% /Domain:%RED% /UserD:%RedUser% /PasswordD:%TrustAdminPW% /Add /EnableSIDHistory:no

PowerShell.exe -command "[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().SetSelectiveAuthenticationStatus('red.zz',1)"

Auf diese Weise lässt sich die gewünschte Vertrauensstellung vollautomatisch erzeugen.

Verwandte Beiträge:

  1. AD-Gruppen auswerten mit einem PowerShell-Skript
    Der australische CTP Jeremy Saunders hat ein umfangreiches PowerShell-Skript veröffentlicht, das eine umfassende Analyse von Gruppen in Active Directory ausführt....
  2. “Objekt vor zufälligem Löschen schützen” per Skript setzen
    Seit Windows Server 2008 gibt es eine neue Option beim Erzeugen von Organisationseinheiten (OU) in Active Directory: Sie nennt sich...
  3. Datum des AD-Backup per Skript herausfinden
    Möchte man das Datum herausfinden, zu dem Active Directory zuletzt gesichert wurde, so gibt es eine recht einfache Methode: Ab...
  4. dsacls-Ergebnis im Skript effizient prüfen
    dsacls ist das Kommandozeilenprogramm, mit dem man in Active Directory Zugriffsberechtigungen definieren kann. Neben seiner etwas kruden Syntax hat es...
  5. Powershell Skript zur Gruppenrichtlinien-Verarbeitung
    Michael Köppl hat ein sehr komfortables Skript für die Analyse der Gruppenrichtlinien-Verarbeitung erstellt. Das Skript erschien als Gastbeitrag im AD-Blog....
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=8327
<< (neuer)
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!