SID-History zu Konten hinzufügen

Automatisiert (über VBScript) die SID History von Konten zwischen 2 vertrauenden Domänen ist gar nicht so einfach, wie es auf den ersten Blick wirkt, andererseits ist es auch gar nicht so kompliziert.

Der erste Ansatz einfach die objectSID des einen Kontos zur sIDHistory des anderen Kontos hinzuzufügen schlägt mit einem schönen „Access denied“ fehl.

Beim weiteren Forschen stösst man in den Supporttools auf eine sidhist.vbs, die wohl genau das macht. Allerdings kann man der aufgerufenen Funktion aus den DSUtils.ClonePrincipal keine Usercredentials mitgeben. Das ist also auch untauglich.

Bleibt somit nur übrig ein kleines Progrämmchen zu schreiben, welches die API-Funktion DsAddSIDHistory verwendet.

Hier ist auch ganz gut beschrieben, was dazu alles erforderlich ist. Für 2 native W2K3-Domänen kann man es kurz zusammenfassen:

  • Auditing der Kontenverwaltung muss angeschaltet sein
  • Es muss ein leeres Gruppenkonto mit dem Namen <NetBIOS-Domänenname>$$$ geben. (Hierüber testet die Funktion, ob das Auditing auch tatsächlich angeschaltet ist)

Ansonsten geht es ziemlich einfach. Folgende Funktionen müssen einfach nacheinander aufgerufen werden:

  1. DsMakePasswordCredentials
  2. DsBindWithCred
  3. DsAddSIDHistory
  4. DsUnBind
  5. DsFreePasswordCredentials

Jetzt muss man im Script also nur noch die benötigte Gruppe anlegen (Das Auditing sollte natürlich auch angeschaltet sein). Das neu erstellte Programm aufrufen und diese Gruppe wieder löschen.

ADMT wird das ganze wohl auf dem gleichen Weg machen. Es legt diese Gruppe auch an😉

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s