Forum

adminSD Holder Kull...
 
Bildirimler
Hepsini Temizle

[Çözüldü] adminSD Holder Kullanıcı ve Grupları için ACL değişikliğinin geçerli olmama sorunu

2 Yazılar
2 Üyeler
0 Reactions
838 Görüntüleme
Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
Konu başlatıcı
 

Active Directory üzerinden bir OU için delegasyon yapmak istediniz ve delegasyon sibirbazi ile bu OU altindaki tüm kullanicilarin telefon numaralarini help desk çalisanlarindan Ali ye verdiniz. Yani özetle bu sayede OU altindaki tüm kullanicilarin güvenlik ayarlarinda ( ACL ) ilgili öz nitelik için ( attribute ) izin vermis oldunuz. Ancak bir süre sonra bu OU içerisindeki bazi kullanicilarda bu yetkilerin kayboldugunu ve isaretlemenize ragmen "Include inheritable permissions from this object's parent" kutucugunun kendinden silindigini göreceksiniz. Bunun temel sebebi korunan yönetimsel gruplarin üyelerinin PDC rolüne sahip DC tarafindan her bir saatte yapilan ACL kontrolü sonrasi düzenlenmesidir. Çünkü PDC korunan bu gruplarin üyelerinin ACL sini  AdminSDHolder objesindeki ACL ile karsilastirir ve eger bir farklilik var ise bu durumda AdminSDHolder üzerindeki degerleri geri yükler. Bu gruplar asagidaki gibidir.

 

Enterprise Admins
Schema Admins
Domain Admins
Administrators
Account Operators
Server Operators
Print Operators
Backup Operators
Cert Publishers

( Koruna varsayilan gruplara üye dagitim gruplarida bu koruma kapsamindadir, çünkü bu gruplar her an security grubuna çevrilebilir. )

Süreç nasil isliyor ? PDC rolü yüklü DC üzerinde AdminSDHolder Tread her saatte bir çalisarak admincound attribute degeri "0" dan yüksek olan objelerdeki ACL leri, AdminSDHolder objesi üzerindeki degere sifirlar. Bu obje ise asagidaki yolda bulunur

 

cn=AdminSdHolder,cn=System,dc=cozumpark,dc=com.

 

Bu AdminSDHolder process ( islemi ) sadece korunan gruplarin içerisindeki grup ve üyeleri için çalismaktadir. Ancak isterseniz varsayilan olarak gelen bu gruplar için ekleme çikarma yapma sansina sahipsiniz. Bunun için asagidaki makaleyi inceleyebilirsiniz

 

Delegated permissions are not available and inheritance is automatically disabled - Microsoft Support

Siz kendi yapiniz için kimlerin bu grup' a dahil oldugunu veya hangi gruplarin bundan etkilendsigini ögrenmek için asagidaki powershell komutlarini kullanabilirsiniz

 

Get-ADgroup -LDAPFilter “(admincount=1)” | select name

Get-ADuser -LDAPFilter “(admincount=1)” | select name

 

 Not; object attribute editor ile admincount' i 1 den sifir yapmak isi çözmez, grup üyeligini çözmeniz gerekli.

Bu konu 1 yıl önce Hakan Uzuner tarafından düzenlendi

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 17/02/2016 12:39

(@riza-sahan)
Gönderiler: 18033
_
 

Bilgilendirme için teşekkürler hocam.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 17/02/2016 17:40

Paylaş: