A herança do Active Directory não está funcionando como esperado

Navegue suas respostas
2

A questão

Então, eu configurei um novo domínio com dois DCs. Estou tentando remover o grupo Authenticated Users das UOs e isso funciona bem, no entanto os objetos filho não são atualizados (eles ainda têm o Authenticated Users security groep aplicado) enquanto a herança é ativada :

Topologia da UO:

SuperiorOUTestOUobservequeoAuthenticatedUsersgroupfoiremovido:

As propriedades de segurança Child1 reconhecem o Authenticated Users group :

SegurançaavançadadeChild1observeobotãoDisableinheritance:

Eu tentei limpar todas as permissões no objeto Authenticated Users e depois aplicar a todos os descendentes, mas isso não funciona ...

Também não há uma função (embora não conheça) para substituir todas as permissões de objeto filho (como no nível do sistema de arquivos).

Então, como faço para que a herança funcione como eu acho que deveria?

    
por Devator 06.11.2014 / 11:54

2 respostas

7

Os usuários autenticados em child1 não estão lá devido à herança, eles foram adicionados diretamente ao objeto. Provavelmente você optou por copiar os direitos depois de remover a herança ou eles estavam lá antes.

Você pode ver, porque a caixa de seleção não é cinza (diretamente de usuários autenticados).

    
por 06.11.2014 / 12:22
3

É um pouco tarde, considerando quando essa pergunta foi postada, mas me deparei com o mesmo problema / questão e achei que seria útil postar isso. Eu tinha bloqueado a herança em uma unidade organizacional, removido usuários autenticados e quando criei um novo objeto (como um grupo), usuários autenticados foi adicionado à DACL para esse grupo. Veja este doc

Isso se deve às permissões padrão aplicadas a um objeto, que podem ser verificadas fazendo o seguinte (isso é um pouco rápido e sujo, mas fez o trabalho para mim):

  1. Abra adsiedit.msc
  2. Navegue até o objeto (como CN=Organizational-unit )
  3. Copie o valor defaultSecuritydescriptor (que é uma string SDDL)

  4. Converter uma string SDDL em ACEs legíveis: 

    $oldSddl = "insert value you copied in Step 3” 
$ACLObject = New-Object -TypeName System.Security.AccessControl.DirectorySecurity 
$ACLObject.SetSecurityDescriptorSddlForm($oldSddl) 
$ACLObject.Access

O código era de esta fonte

Em teoria, poderia substituir essa string SDDL (usando um método, como descrito neste artigo ) e, em seguida, cole-o sobre o valor da etapa 3. As advertências usuais se aplicariam a testes em ambientes de teste, com backups adequados, etc, etc. / p>     

por 12.11.2018 / 15:21

Tags

Os ISPs e os computadores usam o servidor de nomes de um domínio em ordem? Ubuntu - Como posso ver o que um IP está fazendo no meu servidor?