Synchronisieren von Verzeichnisdienstdaten
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Synchronisieren von Verzeichnisdienstdaten beschrieben.
Referenzen
Durch diese Richtlinieneinstellung wird bestimmt, welche Benutzer und Gruppen berechtigt sind, alle Verzeichnisdienstdaten – unabhängig von den Schutzeinstellungen für Objekte und Eigenschaften – zu synchronisieren. Diese Berechtigung ist erforderlich, um die Dienste für die LDAP-Verzeichnissynchronisierung (dirsync) zu verwenden. Domänencontroller verfügen grundsätzlich über dieses Benutzerrecht, weil der Synchronisierungsprozess im Kontext des System-Kontos auf Domänencontrollern ausgeführt wird.
Konstante: SeSyncAgentPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Stellen Sie sicher, dass dem Benutzerrecht Synchronisieren von Verzeichnisdienstdaten keine Konten zugewiesen sind. Nur Domänencontroller benötigen diese Berechtigung, die sie grundsätzlich besitzen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten
Standardwerte
Die standardmäßige Einstellung auf Domänencontrollern und eigenständigen Servern ist „Nicht definiert“.
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardrichtlinienwerte aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Aktiviert |
Effektive Standardeinstellungen für Mitgliedsserver |
Deaktiviert |
Effektive Standardeinstellungen für Clientcomputer |
Deaktiviert |
Richtlinienverwaltung
In diesem Abschnitt werden die Features, Tools und Verfahren beschrieben, die Sie bei der Verwaltung dieser Richtlinie unterstützen.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Das Benutzerrecht Synchronisieren von Verzeichnisdienstdaten wirkt sich auf Domänencontroller aus (nur Domänencontroller sollten in der Lage sein, Verzeichnisdienstdaten zu synchronisieren). Domänencontroller verfügen grundsätzlich über dieses Benutzerrecht, weil der Synchronisierungsprozess im Kontext des System-Kontos auf Domänencontrollern ausgeführt wird. Angreifer, die über dieses Benutzerrecht verfügen, können alle im Verzeichnis gespeicherten Informationen anzeigen. Dies schafft Gelegenheit für den Missbrauch bestimmter Informationen, um weitere Angriffe vorzubereiten oder sensible Daten wie Telefondurchwahlen oder physische Adressen verfügbar zu machen.
Gegenmaßnahme
Stellen Sie sicher, dass dem Benutzerrecht Synchronisieren von Verzeichnisdienstdaten keine Konten zugewiesen sind.
Mögliche Auswirkung
Keine. Die Standardkonfiguration ist „Nicht definiert“.