информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Все любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
RE: Скрипт домена тут не при чем. 16.03.06 06:53  Число просмотров: 2650
Автор: MVR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Скрипт домена тут не при чем.
> Если рабочая станция входит в домен, а не в рабочую группу,
> то группа администраторов домена добавляется в группу
> локальных администраторов автоматически.

Автоматически она добавляется только в момент включения компа в домен. После этого, если не прилагать усилий, она сама по себе туда не попадает. Сделать это можно двумя путями: входным скриптом и политикой домена.


> > Как бороться?
> > Работаю под бюджетом без локальных админских прав - не
> > помогает.
>
> Это зря...
> Работать надо как минимум под Power Users, а если
> потребуются права админа, то юзать "run as"

Den, прочитай внимательно текст, на который отвечаешь - именно так я и работаю.

> Запретить в локальных политиках безопасности любой доступ
> группе администраторов домена.
> Хотя, если админ домена грамотный, то он сможет это обойти
> доменными политиками, которые перекрывают локальные.

Согласен. Защиты нет - можно только запротоколировать операции при входе, потом придъявить их "по понятиям" (законом не реально).
Лог получить можно либо какой-нить тулзой, протоколирующей действия, происходящие при применении политики и запуске входного скрипта. (кому такая тулза на глаза попадёт - отпостите тут ПЛИИИИЗ), либо как-нить настроить аудит, шоб он запротоколировал изменения в системе, хотя опять же аудит апонент отрубит доменной политикой ;(
<sysadmin>
Скрипт при входе в домен 13.03.06 13:52  
Автор: MVR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Достал админ домовой сети.
Периодически в локальную группу администраторов (ХР) оказывается включена группа администраторов домена. Удаляю - появляется снова. Не сразу, но появляется. Походу отрабатывает скрипт домена.
Как бороться?
Работаю под бюджетом без локальных админских прав - не помогает.
Отказываться от членства в домене не хочется (много вкусного).
Хотелось бы сохранять в лог текст скриптов при входе, чтоб потом предъявить.
Есть идеи?
rsop.msc (по идее в XP должно быть) - для текущего... 16.03.06 21:16  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?
rsop.msc (по идее в XP должно быть) - для текущего пользователя/компьютера. Там сможешь увидеть все, что применяется к компьютеру и пользователю.

А вообще можно включить и текстовые логи обработки политики....только не помню, как:). Ищи на support.microsoft.com
Скрипт домена тут не при чем. 15.03.06 14:34  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
> Достал админ домовой сети.
> Периодически в локальную группу администраторов (ХР)
> оказывается включена группа администраторов домена. Удаляю
> - появляется снова. Не сразу, но появляется. Походу
> отрабатывает скрипт домена.

Скрипт домена тут не при чем.
Если рабочая станция входит в домен, а не в рабочую группу, то группа администраторов домена добавляется в группу локальных администраторов автоматически.

> Как бороться?
> Работаю под бюджетом без локальных админских прав - не
> помогает.

Это зря...
Работать надо как минимум под Power Users, а если потребуются права админа, то юзать "run as"

> Отказываться от членства в домене не хочется (много
> вкусного).

Хозяин барин...

> Хотелось бы сохранять в лог текст скриптов при входе, чтоб
> потом предъявить.
> Есть идеи?

Запретить в локальных политиках безопасности любой доступ группе администраторов домена.
Хотя, если админ домена грамотный, то он сможет это обойти доменными политиками, которые перекрывают локальные.
Других идей пока нет.
RE: Скрипт домена тут не при чем. 16.03.06 06:53  
Автор: MVR Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Скрипт домена тут не при чем.
> Если рабочая станция входит в домен, а не в рабочую группу,
> то группа администраторов домена добавляется в группу
> локальных администраторов автоматически.

Автоматически она добавляется только в момент включения компа в домен. После этого, если не прилагать усилий, она сама по себе туда не попадает. Сделать это можно двумя путями: входным скриптом и политикой домена.


> > Как бороться?
> > Работаю под бюджетом без локальных админских прав - не
> > помогает.
>
> Это зря...
> Работать надо как минимум под Power Users, а если
> потребуются права админа, то юзать "run as"

Den, прочитай внимательно текст, на который отвечаешь - именно так я и работаю.

> Запретить в локальных политиках безопасности любой доступ
> группе администраторов домена.
> Хотя, если админ домена грамотный, то он сможет это обойти
> доменными политиками, которые перекрывают локальные.

Согласен. Защиты нет - можно только запротоколировать операции при входе, потом придъявить их "по понятиям" (законом не реально).
Лог получить можно либо какой-нить тулзой, протоколирующей действия, происходящие при применении политики и запуске входного скрипта. (кому такая тулза на глаза попадёт - отпостите тут ПЛИИИИЗ), либо как-нить настроить аудит, шоб он запротоколировал изменения в системе, хотя опять же аудит апонент отрубит доменной политикой ;(
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы... 17.03.06 11:36  
Автор: ivares Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Скрипт домена тут не при чем.
> > Если рабочая станция входит в домен, а не в рабочую
> группу, то группа администраторов домена добавляется в группу
> > локальных администраторов автоматически.
>
> Автоматически она добавляется только в момент включения
> компа в домен. После этого, если не прилагать усилий, она
> сама по себе туда не попадает. Сделать это можно двумя
> путями: входным скриптом и политикой домена.

Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы войти в домен.
И не важно - настроена политика или нет домен админы будут у тебя в локальных.
Так работает домен.

Хочешь знать, что он делает у тебя? Тяжело, уже говорили. Только внешними программулинами.
Сразу даже не скажу какими. То что приходит на ум, требует нудной ручной обработки.
А не проще отрубать его при входе? Поставь фаер и отстрой - блок ip админа, блок входящих нетбиос.
И кажется есть фича в NetView - отрубать пользователей с определенным аккаунтом.
а если в домен не входить? 15.03.06 16:49  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
<"чистая" ссылка>
а логиниться локально. Ресурсами домена в этом случае можно просто пользоваться вводом доменного пароля
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
можно вот как сделать 16.03.06 10:20  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 16.03.06 10:46  Количество правок: 1
<"чистая" ссылка>
чтобы потом не рвать волосы на голове, предварительно сделать имидж системного диска к примеру ghost'ом
затем вывести комп из домена с отключенным кабелем (чтобы он на контролере домена остался числится)
поигрался - откатал назад и ты снова в домене ;-))
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach