Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Vyhledání všech účtů s povolenou Kerberos delegací
červen 21
Vyhledání všech účtů s povolenou Kerberos delegací

Tuhle jsem psal o Kerberos Delegation a zmiňoval jsem, že je to bezpečnostně citlivá záležitost. Jak najdete všechny účty, které mají delegaci povolenu? Použijeme PowerShell:

$rootDSE = [ADSI] 'LDAP://RootDSE'
$searcher = [ADSISearcher] ('LDAP:// + $rootDSE.defaultNamingContext) 
$searcher.PageSize = 1
$searcher.SearchScope = 'subTree'

$fltDelegation = '(|(msDS-AllowedToDelegateTo=*)(userAccountControl:1.2.840.113556.1.4.803:=524288))'
$fltDC = '(userAccountControl:1.2.840.113556.1.4.803:=8192)'
$fltRODC = '(userAccountControl:1.2.840.113556.1.4.803:=67108864)'

$searcher.Filter = "(&($fltDelegation)(!$fltDC)(!$fltRODC))"
$searcher.Asynchronous = $true
$searchRes = $searcher.FindAll()

$searchRes | % { 

  $oneObj = [ADSI] ($_.Path)
 
  [PSObject] $out = New-Object PSObject 

  $out | Add-Member -MemberType NoteProperty -Name Path -Value $_.Path
  $out | Add-Member -MemberType NoteProperty -Name UPN -Value $oneObj.userPrincipalName
  $out | Add-Member -MemberType NotePropetty -Name Name -Value $oneObj.cn
  $out | Add-Member -MemberType NoteProperty -Name DisplayName -Value $oneObj.displayName

  $out

} | ft -AutoSize

$searchRes.Dispose()
$searcher.Dispose()

Poznámka - vyhledávací filtr nerozlišuje (tedy je vyhledá všechny) mezi constrained delegation (trust to the specified services only) a unconstrained delegation (trust to any service). Vyhledávací filtr taky vynechává DC a RODC, protože tyto objekty mají delegaci zapnutou automaticky.

Comments

preklepy

v kodu je 2x preklep, jinak diky za kod.

$searcher = [ADSISearcher] ('LDAP:// + $rootDSE.defaultNamingContext)
=
$searcher = [ADSISearcher] ('LDAP://' + $rootDSE.defaultNamingContext)

  $out | Add-Member -MemberType NotePropetty -Name Name -Value $oneObj.cn
=
  $out | Add-Member -MemberType NoteProperty -Name Name -Value $oneObj.cn
VasekB on 9.4.2013 18:28

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments