Rating: 5.0/5. (17 Stimmen) Details
Bitte warten...

Von Zeit zu Zeit überprüft ein gewissenhafter Admin seine Umgebung, um Problemen vorzubeugen. Mir passierte es, dass ich während einer solchen Routineüberprüfung auf einen alten Eintrag im Active Directory gestoßen bin: ein Interdomain Trust Account. Dieser verwaiste Eintrag ist ein verstecktes Konto vom Typ TRUST_ACCOUNT. Das Active Directory legt für jede Domäne in Vertrauensstellung ein Hidden Account an, üblicherweise im Container Users, mit ADSIEDIT gut zu finden unter dem Namen der vertrauenden Domäne und abschließendem Dollarzeichen, respektive DOMAIN$. Das kann schon mal zu Problemen führen, bspw. wenn der Name durch einen Computer verwendet werden soll. Wir erinnern uns, Computer haben auch einen Account der mit einem Dollar terminiert wird.

Der gefundene Interdomain Trust Account stammte von einer untergeordneten Domäne mit bidirektionaler, transistiver Vertrauensstellung. Diese Domäne wurde leider unsauber getrennt, weswegen die Überreste über NTDSUTIL entfernt werden mußten. Wie das funktioniert, wird im Internet oft beschrieben, Stichwort Metadata Cleanup. Doch wie man diesen verwaisten Account löscht, ist bisher nirgends zu finden. Bedingt durch das Sicherheitskonzept des Active Directory lassen sich besonders wichtige Objekte nicht ohne weiteres löschen. Solche Objekte sind mit dem boolschen Wert “isCriticalSystemObject” markiert. Zudem lassen sich einige Attribute wie “sAMAccountType” und “userAccountControl” nicht ändern, da die Besitzerrechte beim Sicherheitsverwaltungsdienst liegen: Fehler 0x209a: DSID-031A1021 (WILL_NOT_PERFORM).

Also lässt sich so keine Änderung herbeiführen. Das Löschen des Objekts selbst bringt uns einen weiteren Fehler ein.

Insufficient Rights. <50> Server error: 00000005: SecErr: DSID-031A1190, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Was also tun? Die Lösung ist recht einfach umzusetzen, aber nicht trivial und sollte unter keinen Umständen sofort im produktiven Umfeld durchgeführt werden, solange es im Testlabor nicht geprüft wurde. Es kann im schlimmsten Fall bestehende Vertrauensstellungen und die damit verbundenen Dienste negativ beeinflussen. Außerdem ist darauf zu achten, ein vollständiges, aktuelles Backup vorrätig zu haben.

Über NETDOM legen wir einen Fake-Trust mit dem gleichen Namen an und löschen diesen dann wieder. Dadurch verschwindet unser Geisterkonto.

Anlegen der Fake-Vertrauensstellung

PS C:\> netdom trust domain.internal /domain:subdomain /add /realm

Erzwungene Löschung der Vertrauensstellung

PS C:\> netdom trust domain.internal /domain:subdomain /oneside:trusting /remove /force
PS C:\> netdom trust domain.internal /domain:subdomain /oneside:trusted /remove /force

Und der Tag ist gerettet. 😎

 


Mac

Mac

Seit über 20 Jahren beschäftige ich mich mit Themen aus dem Bereich IT. Mein Schwerpunkt liegt dabei auf Produkte aus dem Hause Microsoft. Dazu gehören neben Active Directory und Windows Server insbesondere Netzwerkdienste wie DNS, DFS und DHCP. Zudem bin ich ein großer Verfechter des Internet Information Service, also dem Windows Webserver. Berührungspunkte im Bereich Citrix XenApp sowie XenDesktop, als auch VMware runden meinen Erfahrungsschatz ab.

1 Kommentar

Soloviov · 30. September 2015 um 09:18

Einfach genial. Ich hatte so ein Überbleibsel, das sich auf dem Essentials Dashboard gemütlich machte. Danke!

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.