Von Zeit zu Zeit überprüft ein gewissenhafter Admin seine Umgebung, um Problemen vorzubeugen. Mir passierte es, dass ich während einer solchen Routineüberprüfung auf einen alten Eintrag im Active Directory gestoßen bin: ein Interdomain Trust Account. Dieser verwaiste Eintrag ist ein verstecktes Konto vom Typ TRUST_ACCOUNT. Das Active Directory legt für jede Domäne in Vertrauensstellung ein Hidden Account an, üblicherweise im Container Users, mit ADSIEDIT gut zu finden unter dem Namen der vertrauenden Domäne und abschließendem Dollarzeichen, respektive DOMAIN$. Das kann schon mal zu Problemen führen, bspw. wenn der Name durch einen Computer verwendet werden soll. Wir erinnern uns, Computer haben auch einen Account der mit einem Dollar terminiert wird.
Der gefundene Interdomain Trust Account stammte von einer untergeordneten Domäne mit bidirektionaler, transistiver Vertrauensstellung. Diese Domäne wurde leider unsauber getrennt, weswegen die Überreste über NTDSUTIL entfernt werden mußten. Wie das funktioniert, wird im Internet oft beschrieben, Stichwort Metadata Cleanup. Doch wie man diesen verwaisten Account löscht, ist bisher nirgends zu finden. Bedingt durch das Sicherheitskonzept des Active Directory lassen sich besonders wichtige Objekte nicht ohne weiteres löschen. Solche Objekte sind mit dem boolschen Wert “isCriticalSystemObject” markiert. Zudem lassen sich einige Attribute wie “sAMAccountType” und “userAccountControl” nicht ändern, da die Besitzerrechte beim Sicherheitsverwaltungsdienst liegen: Fehler 0x209a: DSID-031A1021 (WILL_NOT_PERFORM).
Also lässt sich so keine Änderung herbeiführen. Das Löschen des Objekts selbst bringt uns einen weiteren Fehler ein.
Was also tun? Die Lösung ist recht einfach umzusetzen, aber nicht trivial und sollte unter keinen Umständen sofort im produktiven Umfeld durchgeführt werden, solange es im Testlabor nicht geprüft wurde. Es kann im schlimmsten Fall bestehende Vertrauensstellungen und die damit verbundenen Dienste negativ beeinflussen. Außerdem ist darauf zu achten, ein vollständiges, aktuelles Backup vorrätig zu haben.
Über NETDOM legen wir einen Fake-Trust mit dem gleichen Namen an und löschen diesen dann wieder. Dadurch verschwindet unser Geisterkonto.
Anlegen der Fake-Vertrauensstellung
PS C:\> netdom trust domain.internal /domain:subdomain /add /realm
Erzwungene Löschung der Vertrauensstellung
PS C:\> netdom trust domain.internal /domain:subdomain /oneside:trusting /remove /force PS C:\> netdom trust domain.internal /domain:subdomain /oneside:trusted /remove /force
Und der Tag ist gerettet. 😎
1 Kommentar
Soloviov · 30. September 2015 um 09:18
Einfach genial. Ich hatte so ein Überbleibsel, das sich auf dem Essentials Dashboard gemütlich machte. Danke!