Hallo,

ich suche ein Script/Befehl, welcher mir jede Minuten die ACL eines Objektes im AD ausliest und in eine Datei schreibt.
Hat da zufällig jmd was auf Lager?

Danke und fruendliche Grüße
Alex

Meinst Du jetzt die ACL auf das Objekt oder ACLs wie Dateiberechtigungen, in denen das Objekt (z.B. User) vorkommt?

Ersteres. Die ACL die auf dem Objekt liegt.

Diese Liste hier brauche ich in Textform, und das jede Minute einmal in einer neuen Datei.
http://666kb.com/i/ayav5wt0o0awin2vq.jpg

Evtl. könnte Dir dsacls aus den Support-Tools weiterhelfen.

Perfekt!
Danke dir vielmals!

dsacls "\\ServerName\Ldap-Pfad,zum,Objekt"

Funktioniert einwandfrei :)

Btw, wofür braucht man das?

Wir haben nen Problem im AD.
Wir haben die ACLs so angepasst, dass der User Telefonnummer, Straße, usw. ändern darf.
Bei wenigen Benutzern werden die ACLs aber "gelegentlich" auf Standardwerte zurückgesetzt.

User machen das nicht, das muss irgend ein Task sein (scheint auch nur die Mitglieder einer bestimmte Globalen Sicherheits Gruppe im AD zu betreffen).

Jetzt hab ich mit nen Script gebaut, welches minütlich die ACLs auf verschiedenen DCs abfragt und in eine *.txt schreibt.
So kann ich sehen wann und wo die Änderung auftritt.
Dann habe ich die Überwachung im AD eingeschaltet, um zu sehen wer das ändert.

(Ohne zu wissen wann hat es keinen Sinn zu suchen, hunderttausende von Ereignissen im Eventlog)
So kann ich das ganze dann halt auf DC, Uhrzeit und Account/Prozess eingrenzen.

Muahahahaa, den bösen gefunden :D

Die Accounts waren Mitglieder der Druck-Operatoren.
Daher hat der AdminSDHolder die ACL stündlich zurückgesetzt!

http://support.microsoft.com/kb/318180/de

Böse Falle :eek:
Habe noch nie von diesem Automatismus gehört ... ok, in http://support.microsoft.com/kb/232199/en-us ist auch von 'Windows 2000 RC2 oder früher' die Rede, ist dies bei der Problem-Domäne der Fall (gewesen)?

Wir sind im 2003er Modus.
Der Kb-Artikel trifft das Problem aber auf den Kopf.
MS spricht ja nur von einer Änderung von RC2 zum RC3/Final.
Denke das die damit die ACL meinen welche auf dem AdminSDHolder liegen, nicht jedoch den Prozess ansich.

und wieder was neues gelernt, wir haben zwar keinen solchen fall, wären aber bestimmt auch reingefallen!

Das ist ja mal ein dicker Hund (nicht der von jorge42 :wink:).

Habs grad mal nachgestellt:
- Test-User zur Dom-Admin-Gruppe hinzugefügt
- mir die Berechtigung 'Senden als' erteilt (m.E. ein 'Klassiker' der ACL-Änderung bei Usern)
- eine Stunde gewartet und schwupp -> Berechtigung verschwunden
:eek: