Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
 |  |
Пользователи в Windows 2000 11.11.02 13:43 Число просмотров: 1477
Автор: Maksim Статус: Незарегистрированный пользователь
|
> > Недавно обнаружил, что в Win2k WorkStation + SP2 > обычный > > пользователь, находящийся в локальной группе > пользователей, > > может создавать новых пользователей и удалять их > (ТОЛЬКО > > созданных ИМ пользователей). > > В локальной политике безопасности ничего подходящего > не > > нашел. > Поподробнее какая локальная группа - users. bkb power users > что за пользователь ? Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
|
<sysadmin>
|
Пользователи в Windows 2000 11.11.02 13:16
Автор: Maksim Статус: Незарегистрированный пользователь
|
Недавно обнаружил, что в Win2k WorkStation + SP2 обычный пользователь, находящийся в локальной группе пользователей, может создавать новых пользователей и удалять их (ТОЛЬКО созданных ИМ пользователей).
В локальной политике безопасности ничего подходящего не нашел.
Может быть кто-нибудь что-нибудь про это знает? и как это исправить?
|
 |
Пользователи в Windows 2000 11.11.02 13:23
Автор: Grin Статус: Незарегистрированный пользователь
|
> Недавно обнаружил, что в Win2k WorkStation + SP2 обычный > пользователь, находящийся в локальной группе пользователей, > может создавать новых пользователей и удалять их (ТОЛЬКО > созданных ИМ пользователей). > В локальной политике безопасности ничего подходящего не > нашел. Поподробнее какая локальная группа - users. bkb power users что за пользователь ?
|
 |  |
Пользователи в Windows 2000 11.11.02 13:43
Автор: Maksim Статус: Незарегистрированный пользователь
|
> > Недавно обнаружил, что в Win2k WorkStation + SP2 > обычный > > пользователь, находящийся в локальной группе > пользователей, > > может создавать новых пользователей и удалять их > (ТОЛЬКО > > созданных ИМ пользователей). > > В локальной политике безопасности ничего подходящего > не > > нашел. > Поподробнее какая локальная группа - users. bkb power users > что за пользователь ? Пользователь создан с обычными правами, т.е. находится в локальной группе Пользователи (Users)
|
 |  |  |
Я конечно понимаю, хочется бездетного юзера 11.11.02 20:03
Автор: babay <Andrey Babkin> Статус: Elderman
|
тогда заставь M$ API переписать.
Что до дела, то можно зарядить под юзером софтину которая будет юзать Net API или ADSI Interface и наплодить админу 40 000 экаунтов, говорят АД ровно на столько рассчитано.
Random + ADSI, вот тебе и рецепт вирусняка на полный DOS сервера.
как раз то о чем говорили
|
 |  |  |  |
Так, внесём ясность 11.11.02 20:36
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> тогда заставь M$ API переписать. > Что до дела, то можно зарядить под юзером софтину которая > будет юзать Net API или ADSI Interface и наплодить админу > 40 000 экаунтов, говорят АД ровно на столько рассчитано. > Random + ADSI, вот тебе и рецепт вирусняка на полный DOS > сервера. Господа из группы Users имеют право создавать тольколокальныхUsers, поэтому вряд ли они смогут переполнить АД :) Чтобы создавать юзеров в АД нужно быть хотя бы в Account Operators
|
 |  |  |  |  |
Конечно внесем, недавно обсуждалась софтина дающая права System... 11.11.02 20:54
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
 |  |  |  |  |  |
и что? 11.11.02 22:22
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
 |  |  |  |  |  |  |
Люди, проблема в другом 12.11.02 11:45
Автор: Maksim Статус: Незарегистрированный пользователь
|
Меня не интересует, как завалить Виндуз.
Я хотел бы узнать, как запретить пользователю создавать других пользователей?
В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз.
|
 |  |  |  |  |  |  |  |
Люди, проблема в другом 12.11.02 13:18
Автор: _lesha_ <lesha> Статус: Member
|
> Меня не интересует, как завалить Виндуз. > Я хотел бы узнать, как запретить пользователю создавать > других пользователей? > В этом весь вопрос - вопрос жизни и смерти. Хелп ми плз. накатить до сп3?
|
 |  |  |  |  |  |  |  |  |
а при чем тут SP3 ? + по теме 12.11.02 16:17
Автор: babay <Andrey Babkin> Статус: Elderman
|
> > Меня не интересует, как завалить Виндуз. > > Я хотел бы узнать, как запретить пользователю > создавать > > других пользователей? > > В этом весь вопрос - вопрос жизни и смерти. Хелп ми > плз. > накатить до сп3? сабж собственно, что до дела - не делал этого на обычном серваке или десктопе, ну а в домене 2000 как ZloyShaman и написал право создания создания юзера есть у Account Operators и выше, так запрети делегирование полномочий и сделай её группой с ограниченным членством.
Хотя на обычной тачке можно попробовать сделать через шаблоны безопасности саму группу юзеров как sensitive и тогда они сами в нее никого добавить не смогут, вот вроде и всё, больше пока мыслей нет.
|
 |  |  |  |  |  |  |  |  |  |
а при чем тут SP3 ? + по теме 12.11.02 16:53
Автор: _lesha_ <lesha> Статус: Member
|
> > накатить до сп3? > сабж собственно, что до дела - не делал этого на обычном обьяснюсь. попытался повторить действия инициатора треда
на вин2к сп3, как результат был послан. Тем более, что
обновить до сп3 все равно не помешает :)
|
 |  |  |  |  |  |  |  |  |  |  |
О !!!, спасибо за инфу !, тоже попробую юзера создать 12.11.02 17:20
Автор: babay <Andrey Babkin> Статус: Elderman
|
|
 |  |  |  |  |  |  |  |  |  |  |  |
Все гораздо сложнее... 13.11.02 08:09
Автор: Maksim Статус: Незарегистрированный пользователь
|
Я работаю на предприятии админом, и под моим контролем более 300 компов и более 1000 юзверей. Так что менять всю политику безопасности очень геморно.
А на счет SP3 я слышал, что он, как-будто, сам отправляет уведомление в MS о не лецензионном продукте через Internet.
По этому, может существует какой-нибудь патч или что-то в этом роде, чтоб исправить эту дыру?
|
 |  |  |  |  |  |  |  |  |  |  |  |  |
Все гораздо сложнее... 14.11.02 09:03
Автор: StR <Стас> Статус: Elderman
|
> Я работаю на предприятии админом, и под моим контролем Давно работаешь???
> более 300 компов и более 1000 юзверей. Так что менять всю > политику безопасности очень геморно. А что, домена нету???
|
 |  |  |  |  |  |  |  |  |  |  |  |  |
Бред полный 13.11.02 12:08
Автор: babay <Andrey Babkin> Статус: Elderman
|
> Я работаю на предприятии админом, и под моим контролем > более 300 компов и более 1000 юзверей. Так что менять всю > политику безопасности очень геморно.
Руками конечно гемморно, но для этого и служат скрипты, полисы и прочие средства централизованного управления.
Политику настраивать не хочешь, а как хочется, чтоб нефига не делать и все работало ?
> А на счет SP3 я слышал, что он, как-будто, сам отправляет > уведомление в MS о не лецензионном продукте через Internet. > По этому, может существует какой-нибудь патч или что-то в > этом роде, чтоб исправить эту дыру?
Нет там такой фигни, я сам смотрел логи на фри, нефига подобного, а отключай сервис автообновлений и никуда сама система ничего отсылать и принимать не будет. А если уж такой ужас всё это вселяет, запрети на фаерволе выход на M$ со всех тачек с виндами.
на сабж не обижайся, не сдержался :-(
|
 |  |  |  |  |  |  |  |  |  |  |  |  |  |
Бред полный 13.11.02 14:11
Автор: A.Galland Статус: Незарегистрированный пользователь
|
> > Я работаю на предприятии админом, и под моим контролем > > более 300 компов и более 1000 юзверей. Так что менять > всю > > политику безопасности очень геморно. > У тебя чего в обычный воркгруп компы завязаны и ты на кождом в отдельности политику настраиваешь? AD не пробовал настроить? Чтоб язеря все свои разрешения централизованно получали ?
|
|
|