«

»

FSP – Foreign Security Principals

Es ist möglich, in eine domänen-lokale Gruppe Benutzer aus einer anderen Domäne, zu der eine Vertrauensstellung besteht, aufzunehmen. In der Gruppen-Domäne werden die Gruppenmitglieder aus der fremden Domäne angezeigt. Es gibt auch einen Container mit dem Namen „ForeignSecurityPrincipals“ mit allen „Fremden Sicherheitskonten“. In der Mitglieder-Domäne findet man jedoch keinen Hinweis auf die Mitgliedschaft von Nutzern in Gruppen einer anderen Domäne. migRaven hilft hier weiter.

1. Cross-Domain Support für die Analyse von Gruppenmitgliedschaften

Domänen-übergreifende Gruppenmitgliedschaften ermitteln

ab migRaven Version 4.0.1010

1.1. Gruppenmitglieder aus einer anderen Domäne

Es ist möglich, in eine domänen-lokale Gruppe Benutzer aus einer anderen Domäne, zu der eine Vertrauensstellung besteht, aufzunehmen. In der Domäne, in der die Gruppe liegt, befindet sich ein Container mit dem Namen „ForeignSecurityPrincipals“ („Fremde Sicherheitsprinzipale“, „Fremde Sicherheitskonten“). In diesem wird für jedes Mitglied der Gruppe aus einer fremden Domäne ein Eintrag abgelegt, mit Informationen wie SID und Anzeigename.

FSP

Bild: Beim Öffnen des Containers „ForeignSecurityPrincipals“ werden die Benutzer aus anderen Domänen angezeigt. Bei den einzelnen Nutzern können wir uns unter „Mitglied von“ anzeigen lassen, in welcher bzw. in welchen Gruppen dieser Domäne das Objekt Mitglied ist.

1.2. Das Problem in der Domäne des Gruppenmitglies

Jetzt melden wir uns an der Domäne der Mitglieder an und lassen uns einen der Benutzer anzeigen. Natürlich werden uns die Mitgliedschaften des Nutzers angezeigt, aber nicht die in der fremden Domäne.

Eine unerwartete Lücke in Windows Informationssystem.

2. migRaven schafft hier Abhilfe

2.1. Mit dem AD-View

Nachdem Sie in migRaven Ihre Domänen gescannt haben, können Sie sich im AD-View einen Benutzer holen und es werden alle seine Mitgliedschaften angezeigt, auch die in der anderen Domäne.

AD-View

 

2.2. Mit dem Report-Generator

Sie möchten wissen, welche Gruppen Mitglieder in anderen Domänen haben bzw. welche Nutzer Mitglied in anderen Domänen sind.

Dazu gibt es im Report-Generator unter den AD-Abfragen den Job „Domänen übergreifende Gruppenmitgliedschaften ermitteln“.

ReportGenerator FSP

Bild: Abfrage „Domänen-übergreifende Gruppenmitgliedschaften ermitteln“ auswählen

 

Dieser ermittelt für die gescannten Domänen alle Relationen, bei denen Mitglied und Gruppe nicht in der gleichen Domäne sind.

ReportGenerator Mitglieder

Bild: Ergebnisanzeige: Mitglieder in Gruppen einer anderen Domäne

 

In den ersten Spalten werden Mitglieder angezeigt und deren Domäne. Diese Mitglieder sind Personen, können aber auch Gruppen sein. Rechts werden die Gruppen angezeigt, in denen die linken Objekte Mitglied sind, ebenfalls mit Domäne. Damit erhalten Sie einen Überblick Ihrer domänen-übergreifenden Gruppenmitgliedschaften.

Voraussetzung ist natürlich, dass Sie zu Anfang beim AD-Scan alle betroffenen Domänen gescannt haben.