Недавно обнаружил, что в Win2k WorkStation + SP2 обычный пользователь, находящийся в локальной группе пользователей, может создавать новых пользователей и удалять их (ТОЛЬКО созданных ИМ пользователей).
В локальной политике безопасности ничего подходящего не нашел.
Может быть кто-нибудь что-нибудь про это знает? и как это исправить?
Пользователи в Windows 200011.11.02 13:23 Автор: Grin Статус: Незарегистрированный пользователь
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный > пользователь, находящийся в локальной группе пользователей, > может создавать новых пользователей и удалять их (ТОЛЬКО > созданных ИМ пользователей). > В локальной политике безопасности ничего подходящего не > нашел. Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
Пользователи в Windows 200011.11.02 13:43 Автор: Maksim Статус: Незарегистрированный пользователь
> > Недавно обнаружил, что в Win2k WorkStation + SP2 > обычный > > пользователь, находящийся в локальной группе > пользователей, > > может создавать новых пользователей и удалять их > (ТОЛЬКО > > созданных ИМ пользователей). > > В локальной политике безопасности ничего подходящего > не > > нашел. > Поподробнее какая локальная группа - users. bkb power users > что за пользователь ? Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
Я конечно понимаю, хочется бездетного юзера11.11.02 20:03 Автор: babay <Andrey Babkin> Статус: Elderman
тогда заставь M$ API переписать.
Что до дела, то можно зарядить под юзером софтину которая будет юзать Net API или ADSI Interface и наплодить админу 40 000 экаунтов, говорят АД ровно на столько рассчитано.
Random + ADSI, вот тебе и рецепт вирусняка на полный DOS сервера.
> тогда заставь M$ API переписать. > Что до дела, то можно зарядить под юзером софтину которая > будет юзать Net API или ADSI Interface и наплодить админу > 40 000 экаунтов, говорят АД ровно на столько рассчитано. > Random + ADSI, вот тебе и рецепт вирусняка на полный DOS > сервера. Господа из группы Users имеют право создавать тольколокальныхUsers, поэтому вряд ли они смогут переполнить АД :) Чтобы создавать юзеров в АД нужно быть хотя бы в Account Operators
Конечно внесем, недавно обсуждалась софтина дающая права System...11.11.02 20:54 Автор: babay <Andrey Babkin> Статус: Elderman
Меня не интересует, как завалить Виндуз.
Я хотел бы узнать, как запретить пользователю создавать других пользователей?
В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
Люди, проблема в другом12.11.02 13:18 Автор: _lesha_ <lesha> Статус: Member
> Меня не интересует, как завалить Виндуз. > Я хотел бы узнать, как запретить пользователю создавать > других пользователей? > В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз. накатить до сп3?
а при чем тут SP3 ? + по теме12.11.02 16:17 Автор: babay <Andrey Babkin> Статус: Elderman
> > Меня не интересует, как завалить Виндуз. > > Я хотел бы узнать, как запретить пользователю > создавать > > других пользователей? > > В этом весь вопрос - вопрос жизни и смерти. Хелп ми > плз. > накатить до сп3? сабж собственно, что до дела - не делал этого на обычном серваке или десктопе, ну а в домене 2000 как ZloyShaman и написал право создания создания юзера есть у Account Operators и выше, так запрети делегирование полномочий и сделай её группой с ограниченным членством.
Хотя на обычной тачке можно попробовать сделать через шаблоны безопасности саму группу юзеров как sensitive и тогда они сами в нее никого добавить не смогут, вот вроде и всё, больше пока мыслей нет.
а при чем тут SP3 ? + по теме12.11.02 16:53 Автор: _lesha_ <lesha> Статус: Member
> > накатить до сп3? > сабж собственно, что до дела - не делал этого на обычном обьяснюсь. попытался повторить действия инициатора треда
на вин2к сп3, как результат был послан. Тем более, что
обновить до сп3 все равно не помешает :)
О !!!, спасибо за инфу !, тоже попробую юзера создать12.11.02 17:20 Автор: babay <Andrey Babkin> Статус: Elderman
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
Все гораздо сложнее...14.11.02 09:03 Автор: StR <Стас> Статус: Elderman
> Я работаю на предприятии админом, и под моим контролем > более 300 компов и более 1000 юзверей. Так что менять всю > политику безопасности очень геморно.
Руками конечно гемморно, но для этого и служат скрипты, полисы и прочие средства централизованного управления.
Политику настраивать не хочешь, а как хочется, чтоб нефига не делать и все работало ?
> А на счет SP3 я слышал, что он, как-будто, сам отправляет > уведомление в MS о не лецензионном продукте через Internet. > По этому, может существует какой-нибудь патч или что-то в > этом роде, чтоб исправить эту дыру?
Нет там такой фигни, я сам смотрел логи на фри, нефига подобного, а отключай сервис автообновлений и никуда сама система ничего отсылать и принимать не будет. А если уж такой ужас всё это вселяет, запрети на фаерволе выход на M$ со всех тачек с виндами.
> > Я работаю на предприятии админом, и под моим контролем > > более 300 компов и более 1000 юзверей. Так что менять > всю > > политику безопасности очень геморно. > У тебя чего в обычный воркгруп компы завязаны и ты на кождом в отдельности политику настраиваешь? AD не пробовал настроить? Чтоб язеря все свои разрешения централизованно получали ?