Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Как запретить исключение из домена даже для локального админа. 13.02.03 10:03 Число просмотров: 1966
Автор: Konstantin <Konstantin Leontiev> Статус: Member
|
Есть один такой прикол, как запретить выход их домена всем (даже локальному админу) кроме тех кому положено это делать.
В групповой политике установить на службу Netlogon (Сетевой вход в систему) запуска Auto, и атрибуты безопастности
Read - EveryOne,
Start, Stop, Pause - Autnificated users, System
Write - System, Domain Admins
Delete - System, Domain Admins
Full Access - System, Domain Admins
В итоге происходит след. ситуация... Эти атрибуты безопастности прописываются в реестре по адресу: HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Security - Если по какой-то причите прльзователь с локальными правами админа не сможет очистить значение этого ключа, то он никогда не сможет исключить машину из домена - это смогут сделать лишь те у кого есть право Write для данной службы, т.к при исключение из домена система в первую очередь пытается ОТ ЛИЦА ПОЛЬЗОВАТЕЛЯ сделать запись нового режима запуска этой службы, а SCM (Service Control Manager) перед этим проверяет ключ Security на предмет авторизации пользователя.
Ему при такой попытке будут писать Access Denied :)))
|
|
|