LDAP als einfacher Benutzer
Welche Informationen des Active Directorys kann ein einfacher Benutzer mittels LDAP-Anfrage erhalten? Kurzeinstieg: Was ist LDAP überhaupt? LDAP ist die Abkürzung für Lightweight Directory Access Protocol, einem Protokoll, welches eine Kommunikation zwischen einem Client und einem Verzeichnisdienst ermöglicht. Auf Seiten von Microsoft ist Active Directory ein solcher Verzeichnisdienst, aber auch andere Hersteller und Betriebssysteme haben ein entsprechendes Verzeichnisdienst, welches über dieses Protokoll ausgelesen werden kann.
Wie kann ich Active Directory Objekte direkt ansprechen?
Im Active Directory hat jedes Objekt zahlreiche Namensattribute, wie beispielsweise Vor- und Nachname, Anzeige- und Windwos-Anmeldename. Da Vor- und Nachname aber mehrfach vergeben werden können, steht uns der eindeutige "Distinguished Name" zur Seite, um die passenden Objekte zu finden. Dieser Wert beinhaltet das Objekt selbst und alle Container, in denen sich das Objekt befindet.
Zum Beispiel könnte dies für einen User aus der Domäne Trilab.Local so aussehen: CN=Test LDP, CN=Users, DC=Trilab, DC=Local
Im Folgenden verwende ich ldp.exe, welches standardmäßig seit Windows Server 2000 in den Server Versionen enthalten ist.
Welche Informationen kann ein Benutzer mittels LDAP-Anfrage aus dem AD erhalten?
Ein kleiner Test mit dem User 'NT AUTHORITY\ANONYMOUS LOGON' zeigt, dass zwar eine Verbindung aufgebaut, aber keinerlei Informationen aus dem Active Directory ausgelesen werden kann:
Seit Windows Server 2003 wird ein anonymer Zugriff standardmäßig nur auf den 'Root Directory Service Entry', kurz rootDSE, zugelassen. Damit kann man zum Beispiel die Active Directory Version des Forests auslesen, aber keine Objekte im Active Directory selbst. Dies könnte man bei Bedarf jedoch mit dem AD-Attribut dsHeuristik mittels ADSIEdit ändern.
Verwendet man nun einen "einfachen" Benutzer, kann man sich mit dem Server verbinden und ein Benutzerobjekt auslesen:
Hiermit wurde gezeigt, dass ein Benutzer ohne Administrator Rechte Objekte aus dem Active Directory auslesen kann. Eine Modifizierung, hier 'Delete', ist dennoch nicht möglich:
Dies liegt daran, dass der User zu der Gruppe 'Authenticated User' gehört, somit die Lese-Berechtigungen besitzt. Die vorhandenen Berechtigungen kann man mit dem Active Directory Users and Computers nachschauen und ändern:
Rechtsklick auf die Domäne
Properties > Security > Advanced
Add... > Benutzer auswählen
Apply To: 'Descendant User objects' reicht für dieses Beispiel
Zum Löschen reicht ein Haken bei Allow 'Delete'
Dreimal mit OK bestätigen
Möchte man andere Berechtigungen setzen, kann man dies hier ebenfalls tun. Aufpassen muss man bei 'Apply To': Hierbei bezieht sich 'This object only' nur auf die Domäne, 'All descendant objects' auf alle in der Domäne befindenden Objekte.
Nachdem ich nun die Berechtigung 'Delete' gesetzt habe, konnte ich den Test-User aus dem Active Directory löschen:
Mit LDAP lassen sich so auch Objekte erstellen, gelöschte Objekte wiederherstellen oder Attribute ändern - solange die Berechtigungen stimmen...
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 3