информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsАтака на InternetSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59  Число просмотров: 2456
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
<sysadmin>
Скрипт при входе в домен 13.03.06 13:52  
Автор: MVR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Достал админ домовой сети.
Периодически в локальную группу администраторов (ХР) оказывается включена группа администраторов домена. Удаляю - появляется снова. Не сразу, но появляется. Походу отрабатывает скрипт домена.
Как бороться?
Работаю под бюджетом без локальных админских прав - не помогает.
Отказываться от членства в домене не хочется (много вкусного).
Хотелось бы сохранять в лог текст скриптов при входе, чтоб потом предъявить.
Есть идеи?
rsop.msc (по идее в XP должно быть) - для текущего... 16.03.06 21:16  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?
rsop.msc (по идее в XP должно быть) - для текущего пользователя/компьютера. Там сможешь увидеть все, что применяется к компьютеру и пользователю.

А вообще можно включить и текстовые логи обработки политики....только не помню, как:). Ищи на support.microsoft.com
Скрипт домена тут не при чем. 15.03.06 14:34  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Достал админ домовой сети.
> Периодически в локальную группу администраторов (ХР)
> оказывается включена группа администраторов домена. Удаляю
> - появляется снова. Не сразу, но появляется. Походу
> отрабатывает скрипт домена.

Скрипт домена тут не при чем.
Если рабочая станция входит в домен, а не в рабочую группу, то группа администраторов домена добавляется в группу локальных администраторов автоматически.

> Как бороться?
> Работаю под бюджетом без локальных админских прав - не
> помогает.

Это зря...
Работать надо как минимум под Power Users, а если потребуются права админа, то юзать "run as"

> Отказываться от членства в домене не хочется (много
> вкусного).

Хозяин барин...

> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?

Запретить в локальных политиках безопасности любой доступ группе администраторов домена.
Хотя, если админ домена грамотный, то он сможет это обойти доменными политиками, которые перекрывают локальные.
Других идей пока нет.
RE: Скрипт домена тут не при чем. 16.03.06 06:53  
Автор: MVR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Скрипт домена тут не при чем.
> Если рабочая станция входит в домен, а не в рабочую группу,
> то группа администраторов домена добавляется в группу
> локальных администраторов автоматически.

Автоматически она добавляется только в момент включения компа в домен. После этого, если не прилагать усилий, она сама по себе туда не попадает. Сделать это можно двумя путями: входным скриптом и политикой домена.


> > Как бороться?
> > Работаю под бюджетом без локальных админских прав - не
> > помогает.
>
> Это зря...
> Работать надо как минимум под Power Users, а если
> потребуются права админа, то юзать "run as"

Den, прочитай внимательно текст, на который отвечаешь - именно так я и работаю.

> Запретить в локальных политиках безопасности любой доступ
> группе администраторов домена.
> Хотя, если админ домена грамотный, то он сможет это обойти
> доменными политиками, которые перекрывают локальные.

Согласен. Защиты нет - можно только запротоколировать операции при входе, потом придъявить их "по понятиям" (законом не реально).
Лог получить можно либо какой-нить тулзой, протоколирующей действия, происходящие при применении политики и запуске входного скрипта. (кому такая тулза на глаза попадёт - отпостите тут ПЛИИИИЗ), либо как-нить настроить аудит, шоб он запротоколировал изменения в системе, хотя опять же аудит апонент отрубит доменной политикой ;(
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы... 17.03.06 11:36  
Автор: ivares Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Скрипт домена тут не при чем.
> > Если рабочая станция входит в домен, а не в рабочую
> группу, то группа администраторов домена добавляется в группу
> > локальных администраторов автоматически.
>
> Автоматически она добавляется только в момент включения
> компа в домен. После этого, если не прилагать усилий, она
> сама по себе туда не попадает. Сделать это можно двумя
> путями: входным скриптом и политикой домена.

Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы войти в домен.
И не важно - настроена политика или нет домен админы будут у тебя в локальных.
Так работает домен.

Хочешь знать, что он делает у тебя? Тяжело, уже говорили. Только внешними программулинами.
Сразу даже не скажу какими. То что приходит на ум, требует нудной ручной обработки.
А не проще отрубать его при входе? Поставь фаер и отстрой - блок ip админа, блок входящих нетбиос.
И кажется есть фича в NetView - отрубать пользователей с определенным аккаунтом.
а если в домен не входить? 15.03.06 16:49  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
а логиниться локально. Ресурсами домена в этом случае можно просто пользоваться вводом доменного пароля
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
можно вот как сделать 16.03.06 10:20  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 16.03.06 10:46  Количество правок: 1
<"чистая" ссылка>
чтобы потом не рвать волосы на голове, предварительно сделать имидж системного диска к примеру ghost'ом
затем вывести комп из домена с отключенным кабелем (чтобы он на контролере домена остался числится)
поигрался - откатал назад и ты снова в домене ;-))
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach