Attribute für AD User : objectSID

Das AD-Attribut objectSid enthält die Security ID (SID) des betreffenden Accounts. Nur so genannte Security Principals (User und Computer Accounts sowie Sicherheitsgruppen) besitzen eine SID. Sie spielt eine wichtige Rolle bei der Vergabe und Zuweisung von Berechtigungen.

objectSID

LDAP Name	objectSID
Datentyp	Octetstring (max 28)
Multivalue (Array)	No
System Flags	0x12
Search Flags	0x09
Im Global Catalog?	Ja
Attribute ID	1.2.840.113556.1.4.146
AD DB Attributname	Object-Sid
ADSI datatype	8 - Octet String
LDAP syntax	2.5.5.17 - String(Sid)
Wird verwendet in ...	> W2K
Schema Doku	Microsoft - MSDN

In allen Rechtelisten (Access Control Lists - ACL) werden bei der Vergabe von Berechtigungen an Benutzer nicht deren Namen, sondern lediglich deren SIDs eingetragen. Das gilt für Berechtigungen in der gesamten Domäne: Für Objektrechte im Verzeichnis genauso wie für NTFS-Dateiberechtigungen auf einem Memberserver der Domäne. Auf diese Weise bleiben bei einer Umbenennung des Account die Berechtigungen erhalten.

Microsoft Security IDs liegen in binärer Form vor (die entsprechenden Attribute haben als LDAP Syntax "Octet String") und müssen somit erst decodiert werden, um sie in die gewohnte lesbare Form zu bringen, z.B.

S-1-5-21-2611707862-2219215769-354220275-1137

Dies ist die Schreibweise einer Beispiel-SID in der Notation der Security Descriptor Definition Language (SDDL). Typischerweise setzt sich die SID eines Active Directory Benutzers setzt sich immer aus zwei Bestandteilen zusammen: Dem Domänenanteil (der bei allen SIDs innerhalb einer Domäne konstant bleibt) und dem Realitven SID-Anteil (der so genannten RID). Die RID ist immer der letzte Ziffernblock hinter dem letzten Minuszeichen, in unserem Beispiel also 1137.

Alle weiteren Details zum technischen Aufbau und dem Umgang mit SIDs sind im SelfADSI Artikel "Microsoft SID Attribute" enthalten. Dort können Sie sehen, wie man nach Objekten mit einer bestimmten SID sucht, oder welche anderen wichtigen Attribute ebenfalls SID-Werte enthalten. An dieser Stelle sei nur kurz gezeigt, wie man die SID eines Benutzers ausliest und als SDDL String darstellt:

'Sie müssen hier andere Namen und Anmeldedaten aus Ihrer eigene Umgebung angeben! Set obj = GetObject("LDAP://cn=Foeckeler,cn=Users,dc=cerrotorre,dc=de") pureSidData = OctetToHexStr(obj.objectSid) sDDLSidStr = HexStrToSID(pureSidData) WScript.Echo obj.cn WScript.Echo pureSidData WScript.Echo sDDLSidStr Function HexStrToSID(strSid) 'wandelt einen SID Hex String in Rohform in den entsprechenden SID String (SDDL) um ReDim data(Len(strSid)/2 - 1) For i = 0 To UBound(data) data(i) = CInt("&H" & Mid(strSid, 2*i + 1, 2)) Next HexStrToSID = "S-" & data(0) & "-" & Byte6ToLong(data(2), data(3), data(4), data(5), data(6), data(7)) blockCount = data(1) For i = 0 To blockCount - 1 offset = 8 + 4*i HexStrToSID = HexStrToSID & "-" & Byte4ToLong(data(offset+3), data(offset+2), data(offset+1), data(offset)) Next End Function '_________________________________________________________________________________________ Hilfsfunktionen Function OctetToHexStr(var_octet) 'wandelt reine Binärdaten (Byte-Array) in einen String mit den Hexadezimalwerten um. OctetToHexStr = "" For n = 1 To lenb(var_octet) OctetToHexStr = OctetToHexStr & Right("0" & hex(ascb(midb(var_octet, n, 1))), 2) Next End Function Function Byte4ToLong(ByVal b1, ByVal b2, ByVal b3, ByVal b4) 'wandelt 4 Bytes in den entsprechenden Long-Wert um Byte4ToLong = b1 Byte4ToLong = Byte4ToLong * 256 + b2 Byte4ToLong = Byte4ToLong * 256 + b3 Byte4ToLong = Byte4ToLong * 256 + b4 End Function Function Byte6ToLong(ByVal b1, ByVal b2, ByVal b3, ByVal b4, ByVal b5, ByVal b6) 'wandelt 6 Bytes in den entsprechenden Long-Wert um Byte6ToLong = b1 Byte6ToLong = Byte6ToLong * 256 + b2 Byte6ToLong = Byte6ToLong * 256 + b3 Byte6ToLong = Byte6ToLong * 256 + b4 Byte6ToLong = Byte6ToLong * 256 + b5 Byte6ToLong = Byte6ToLong * 256 + b6 End Function

Download Script

< zurück zur Attribut-Liste

< zurück zu SelfADSI Startseite