Woher kommen eigentlich die Standard Berechtigungen bei der Neuanlage eines Active Directory Objektes? Sei es nun eine OU, ein Container oder ein User. Für diese Standard Berechtigungen ist der jeweilige defaultSecurityDescriptor verantwortlich. Um diesen zu bearbeiten, verwenden Sie am besten ADSIEdit.msc. Verbinden Sie sich auf das Schema des jeweiligen Active Directory:
Richten Sie eine neue Suchanfrage ein. Im Beispiel möchten wir OUs anpassen. Sie können hier aber genauso gut auch nach Containern, Usern oder eben allen anderen AD Objekten suchen.
Im Suchergebnis erhalten sie das Schema der Organizational Unit Ihres Active Directories. Wählen Sie darin das Attribut defaultSecurityDescriptor aus. Am besten kopieren Sie die Daten zur Weiterverarbeitung in einen Texteditor:
Hier der Beispielstring mit der Erklärung:
D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(OA;;CCDC;bf967a86-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)(A;;RPLCLORC;;;AU)(A;;LCRPLORC;;;ED)(OA;;CCDC;4828CC14-1437-45bc-9B07-AD6F015E5F28;;AO)
Neben diversen default security Definitionen finden Sie im fett markierten Bereich die Standard Berechtigungen für die Authenticated Users.
(A;;RPLCLORC;;;AU)
Zugriffsart: (A)
- Allow Access
Rechte: (RPLCLORC)
- RP = ADS_RIGHT_DS_READ_PROP
- LC = ADS_RIGHT_ACTRL_DS_LIST
- LO = ADS_RIGHT_DS_LIST_OBJECT
- RC = ADS_RIGHT_DS_CONTROL_ACCESS
Identity: (AU)
- Authenticated User
Wenn Sie an der Stelle das LC zum Beispiel entfernen, hat jede neu angelegte OU nicht mehr das List Content Recht für Authenticated Users.
ACHTUNG!
Das gilt Domänenweit für alle neu angelegte OUs