Наследование Active Directory не работает должным образом

Question

Наследование Active Directory не работает должным образом

Вопрос

Итак, я настроил новый домен с двумя контроллерами домена. Я пытаюсь удалить Authenticated Users группа из одного из подразделений, и это работает нормально, однако дочерние объекты не обновляются (они по-прежнему имеют Authenticated Users применяется протокол безопасности) при включенном наследовании:

OU топология:

OU топология

Топ OU TestOU обратите внимание на Authenticated Users группа удалена:

Проверить свойства OU

Свойства безопасности Child1 замечают Authenticated Users группа:

Свойства безопасности Child1

Child1 расширенная безопасность заметить Disable inheritance кнопка: Child1 повышенная безопасность

Я попытался очистить все разрешения на Authenticated Users объект, а затем применить ко всем потомкам, но это не работает...

Также нет функции (хотя я не знаю об этом), которая заменяет все разрешения дочерних объектов (как вы можете на уровне файловой системы).

Итак, как мне получить наследство, работающее так, как я думаю?

2

active-directory windows-server-2012-r2

Источник

Devator 06 ноя '14 в 10:54

2 ответа

Другие вопросы по тегам active-directory windows-server-2012-r2

marsh-wiggle 06 ноя '14 в 11:22 2014-11-06 11:22 · Answer 1 · 2014-11-06 11:22

Аутентифицированных пользователей в child1 нет из-за наследования, они были добавлены непосредственно в объект. Возможно, вы решили скопировать права после удаления наследства, или они были там раньше.

Вы можете видеть это, потому что флажок не серый (прямо от аутентифицированных пользователей).

Badger 12 ноя '18 в 14:21 2018-11-12 14:21 · Answer 2 · 2018-11-12 14:21

Уже немного поздно, учитывая, когда этот вопрос был опубликован, но я столкнулся с той же проблемой / вопросом и подумал, что это может быть полезно опубликовать. Я заблокировал наследование в OU, удалил Authenticated Users, и когда я создал новый объект (например, группу), Authenticated Users был добавлен в DACL для этой группы. Смотрите этот документ

Это связано с разрешениями по умолчанию, применяемыми к объекту, которые можно проверить, выполнив следующие действия (это немного быстро и грязно, но сделало работу за меня):

Открыть adsiedit.msc
Перейдите к объекту (например, CN=Organizational-unit)
Скопируйте значение defaultSecuritydescriptor (которое является строкой SDDL)

Преобразовать строку SDDL в удобочитаемые ACE (в PowerShell):

$oldSddl = "insert value you copied in Step 3” 
$ACLObject = New-Object -TypeName System.Security.AccessControl.DirectorySecurity 
$ACLObject.SetSecurityDescriptorSddlForm($oldSddl) 
$ACLObject.Access

Код был из этого источника

Теоретически можно затем заменить эту строку SDDL (используя метод, такой как описанный в этой статье), а затем вставить ее поверх значения из шага 3. Обычные предостережения будут применяться при тестировании в тестовой среде, наличии надлежащих резервных копий и т. Д., И т. Д.