Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Скрипт домена тут не при чем. 15.03.06 14:34 Число просмотров: 2946
Автор: Den <Denis> Статус: The Elderman
|
> Достал админ домовой сети.
> Периодически в локальную группу администраторов (ХР)
> оказывается включена группа администраторов домена. Удаляю
> - появляется снова. Не сразу, но появляется. Походу
> отрабатывает скрипт домена.
Скрипт домена тут не при чем.
Если рабочая станция входит в домен, а не в рабочую группу, то группа администраторов домена добавляется в группу локальных администраторов автоматически.
> Как бороться?
> Работаю под бюджетом без локальных админских прав - не
> помогает.
Это зря...
Работать надо как минимум под Power Users, а если потребуются права админа, то юзать "run as"
> Отказываться от членства в домене не хочется (много
> вкусного).
Хозяин барин...
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?
Запретить в локальных политиках безопасности любой доступ группе администраторов домена.
Хотя, если админ домена грамотный, то он сможет это обойти доменными политиками, которые перекрывают локальные.
Других идей пока нет.
|
|
<sysadmin>
|
Скрипт при входе в домен 13.03.06 13:52
Автор: MVR Статус: Незарегистрированный пользователь
|
Достал админ домовой сети.
Периодически в локальную группу администраторов (ХР) оказывается включена группа администраторов домена. Удаляю - появляется снова. Не сразу, но появляется. Походу отрабатывает скрипт домена.
Как бороться?
Работаю под бюджетом без локальных админских прав - не помогает.
Отказываться от членства в домене не хочется (много вкусного).
Хотелось бы сохранять в лог текст скриптов при входе, чтоб потом предъявить.
Есть идеи?
|
|
rsop.msc (по идее в XP должно быть) - для текущего... 16.03.06 21:16
Автор: AlexD <Alexander> Статус: Member
|
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?
rsop.msc (по идее в XP должно быть) - для текущего пользователя/компьютера. Там сможешь увидеть все, что применяется к компьютеру и пользователю.
А вообще можно включить и текстовые логи обработки политики....только не помню, как:). Ищи на support.microsoft.com
|
|
Скрипт домена тут не при чем. 15.03.06 14:34
Автор: Den <Denis> Статус: The Elderman
|
> Достал админ домовой сети.
> Периодически в локальную группу администраторов (ХР)
> оказывается включена группа администраторов домена. Удаляю
> - появляется снова. Не сразу, но появляется. Походу
> отрабатывает скрипт домена.
Скрипт домена тут не при чем.
Если рабочая станция входит в домен, а не в рабочую группу, то группа администраторов домена добавляется в группу локальных администраторов автоматически.
> Как бороться?
> Работаю под бюджетом без локальных админских прав - не
> помогает.
Это зря...
Работать надо как минимум под Power Users, а если потребуются права админа, то юзать "run as"
> Отказываться от членства в домене не хочется (много
> вкусного).
Хозяин барин...
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?
Запретить в локальных политиках безопасности любой доступ группе администраторов домена.
Хотя, если админ домена грамотный, то он сможет это обойти доменными политиками, которые перекрывают локальные.
Других идей пока нет.
|
| |
RE: Скрипт домена тут не при чем. 16.03.06 06:53
Автор: MVR Статус: Незарегистрированный пользователь
|
> Скрипт домена тут не при чем.
> Если рабочая станция входит в домен, а не в рабочую группу,
> то группа администраторов домена добавляется в группу
> локальных администраторов автоматически.
Автоматически она добавляется только в момент включения компа в домен. После этого, если не прилагать усилий, она сама по себе туда не попадает. Сделать это можно двумя путями: входным скриптом и политикой домена.
> > Как бороться?
> > Работаю под бюджетом без локальных админских прав - не
> > помогает.
>
> Это зря...
> Работать надо как минимум под Power Users, а если
> потребуются права админа, то юзать "run as"
Den, прочитай внимательно текст, на который отвечаешь - именно так я и работаю.
> Запретить в локальных политиках безопасности любой доступ
> группе администраторов домена.
> Хотя, если админ домена грамотный, то он сможет это обойти
> доменными политиками, которые перекрывают локальные.
Согласен. Защиты нет - можно только запротоколировать операции при входе, потом придъявить их "по понятиям" (законом не реально).
Лог получить можно либо какой-нить тулзой, протоколирующей действия, происходящие при применении политики и запуске входного скрипта. (кому такая тулза на глаза попадёт - отпостите тут ПЛИИИИЗ), либо как-нить настроить аудит, шоб он запротоколировал изменения в системе, хотя опять же аудит апонент отрубит доменной политикой ;(
|
| | |
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы... 17.03.06 11:36
Автор: ivares Статус: Незарегистрированный пользователь
|
> > Скрипт домена тут не при чем.
> > Если рабочая станция входит в домен, а не в рабочую
> группу, то группа администраторов домена добавляется в группу
> > локальных администраторов автоматически.
>
> Автоматически она добавляется только в момент включения
> компа в домен. После этого, если не прилагать усилий, она
> сама по себе туда не попадает. Сделать это можно двумя
> путями: входным скриптом и политикой домена.
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы войти в домен.
И не важно - настроена политика или нет домен админы будут у тебя в локальных.
Так работает домен.
Хочешь знать, что он делает у тебя? Тяжело, уже говорили. Только внешними программулинами.
Сразу даже не скажу какими. То что приходит на ум, требует нудной ручной обработки.
А не проще отрубать его при входе? Поставь фаер и отстрой - блок ip админа, блок входящих нетбиос.
И кажется есть фича в NetView - отрубать пользователей с определенным аккаунтом.
|
| |
а если в домен не входить? 15.03.06 16:49
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
а логиниться локально. Ресурсами домена в этом случае можно просто пользоваться вводом доменного пароля
|
| | |
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| | | |
можно вот как сделать 16.03.06 10:20
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 16.03.06 10:46 Количество правок: 1
|
чтобы потом не рвать волосы на голове, предварительно сделать имидж системного диска к примеру ghost'ом
затем вывести комп из домена с отключенным кабелем (чтобы он на контролере домена остался числится)
поигрался - откатал назад и ты снова в домене ;-))
|
|
|
подробно о проекте
Анализ криптографических сетевых...
