Logo faq-o-matic.net
Logo faq-o-matic.net

Gruppe “Prä-Windows 2000 kompatibler Zugriff” mit einem Mini-Skript absichern

26 Apr 2024
von veröffentlicht am26. April 2024, 06:10 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Batch, Sicherheit   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Heute mal wieder ein (hihi) Quickie: Die Gruppe “BUILTIN\Prä-Windows 2000 kompatibler Zugriff” in Active Directory ist ein eingebautes Sicherheitsloch. Warum das so ist, könnt ihr an vielen Stellen im Web nachlesen. Kurz zusammengefasst: Diese Gruppe enthält standardmäßig die Pseudo-Systemgruppe “Authentifizierte Benutzer”, und damit kann jeder Benutzer (und auch jeder Computer) nahezu alles lesen, was im Active Directory so steht. Angepasste Zugriffsrechte lassen sich so schwer umsetzen, und Angreifer haben es allzu leicht.

image

Es ist mit wenigen Mausklicks möglich, diesen Eintrag zu entfernen und so in einem neu installierten AD die Gruppe zu leeren. Vor vielen Jahren haben wir schon ein Holzhammer-Skript dazu vorgestellt:

[Gruppe “Prä-Windows 2000 kompatibler Zugriff” per Skript leeren | faq-o-matic.net]
https://www.faq-o-matic.net/2010/06/21/gruppe-pr-windows-2000-kompatibler-zugriff-per-skript-leeren/

Heute mal eine ganz kurze Variante, die ohne VBScript auskommt:

REM Get Domain LDAP name
FOR /f "usebackq" %%a IN (`DSQUERY * DomainRoot -Filter "(objectClass=domain)" -SCOPE base`) DO (
	SET Domain=%%a
	)
SET Domain=%Domain:"=%

DSMOD GROUP "CN=Prä-Windows 2000 kompatibler Zugriff,CN=Builtin,%Domain%" -RMMBR "CN=S-1-5-11,CN=ForeignSecurityPrincipals,%Domain%"

Das Skript setzt voraus, dass die AD-Verwaltungstools auf dem ausführenden Rechner installiert sind, und es funktioniert in einem deutschsprachigen AD.

Verwandte Beiträge:

  1. Gruppe “Prä-Windows 2000 kompatibler Zugriff” per Skript leeren
    Die Gruppe “Prä-Windows 2000 kompatibler Zugriff” ist in der ersten Version von Active Directory unter Windows 2000 eingeführt worden, um...
  2. Mitglieder einer AD-Gruppe mit Zusatzdaten ausgeben
    MItglieder einer Gruppe werden in Active Directory an zwei Stellen hinterlegt. Die maßgebliche Stelle, die aktiv geändert wird, wenn man...
  3. Vor 20 Jahren erschien Exchange 2000
    Exchange 2000 war vielleicht der wichtigste Meilenstein in der Geschichte von Microsofts Messaging- und Groupwaresystem. Es markiert den Punkt, an...
Kurzlink zu diesem Artikel:
http://faq-o-matic.net/?p=8922
(älter) >>

© 2005-2023 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!