Logo faq-o-matic.net
Logo faq-o-matic.net

AD-Trusts per Skript einrichten

von veröffentlicht am11. Dezember 2018, 06:15 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Scripting, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

In einem Kundenprojekt brauche ich eine Lösung, eine Vertrauensstellung zwischen zwei Domänen in getrennten Forests mit bestimmten Einstellungen zu erzeugen. Da zu dem Projekt auch intensive Laborarbeiten und eine Qualitätssicherung mit hohem Anspruch gehören, muss die gesamte Einrichtung der Umgebung so weitgehend wie möglich mit Skripten geschehen.

In der PowerShell gibt es für AD-Vertrauensstellungen leider immer noch nur sehr wenig Unterstützung. Die Wahl fiel daher auf das Kommandozeilentool NETDOM, das schon seit vielen Jahren Bestandteil von Windows ist. Der Trust soll in meinem Fall nur einseitig sein (Domäne A vertraut Domäne B, aber nicht umgekehrt) und mit der “Authentication Firewall” arbeiten, also nur Zugriffe auf ganz bestimmte Rechner erlauben (auch bekannt als “Selective Authentication”). Der Syntaxbeschreibung nach beherrscht NETDOM diese Einstellungen mit Kommandozeilenschaltern.

Wie sich allerdings herausstellte, scheint NETDOM an einer wichtigen Stelle fehlerhaft zu sein (getestete Version: Windows Server 2016). Der Trust wurde mit folgender Zeile nur scheinbar richtig erzeugt:

NETDOM TRUST %GOLD% /Domain:%RED% /UserD:%RedUser% /PasswordD:%TrustAdminPW% /Add /EnableSIDHistory:no /SelectiveAUTH:yes

Tatsächlich funktioniert hier der Schalter /SelectiveAUTH nicht, der Trust stand auf der Standardeinstellung “Domänenweite Authentifizierung”. Verschiedene Test zeigten, dass der Schalter offenbar überhaupt nichts macht.

image

So sollte es nicht sein: Der Schalter „/SelectiveAUTH:yes” hätte die untere Option setzen müssen

In einem Blogartikel fand ich eine Möglichkeit, AD-Trusts ohne spezielle Cmdlets mit der PowerShell zu bearbeiten:

[Active Directory Trusts PowerShell – It for DummiesIt for Dummies]
https://itfordummies.net/2015/11/02/active-directory-trusts-powershell/

Kurzerhand ergänzte ich mein Skript um eine zweite Zeile, die nach dem grundlegenden NETDOM-Kommando den Authentifizierungsmodus per PowerShell ändert:

NETDOM TRUST %GOLD% /Domain:%RED% /UserD:%RedUser% /PasswordD:%TrustAdminPW% /Add /EnableSIDHistory:no

PowerShell.exe -command "[System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().SetSelectiveAuthenticationStatus('red.zz',1)"

Auf diese Weise lässt sich die gewünschte Vertrauensstellung vollautomatisch erzeugen.

© 2005-2019 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!