информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsАтака на InternetВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
В разных разделах АД разные политики - где-то можно быть... 07.12.16 23:39  Число просмотров: 7405
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Нужно проверять регулярно на всех компах домена кто входит
> в группу локальных админов, удалять оттуда ненужных, если
> они появляются и добавлять нужных:

В разных разделах АД разные политики - где-то можно быть локальными админами, где-то нет.
Где нельзя - скрипт зачищает группу от всего лишнего и добавляет нужное.
Содержимое групп собирает SCCM.
Логи не собираются за ненадобностью. При желании, конечно, можно сделать тем же скриптом.
Странно, что происходят изменения этой группы. Если пароль локального админа никто не знает и админы домена этого не делают, то откуда в группе локальных админов что-то добавится или удалится???

> как у вас сделано?
<sysadmin>
По скрипту в PоwerShell подскажите 05.12.16 18:59  
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
<"чистая" ссылка>
Нужно проверять регулярно на всех компах домена кто входит в группу локальных админов, удалять оттуда ненужных, если они появляются и добавлять нужных:

- проверять содержимого группы локальных админов доменных компов, в идеале, - сравнивать со списком из текстового файла, например.
- уведомлять о несоответствии по электронной почте
- ликвидировать найденное несоответствие, например, довалять группу Domain Admins в локальную группу "Администраторы" и удалять юзеров, которых нет в списке из первго пункта.
- писать лог своей работы в сетевую папку или в базу (в том числе версию скрипта, дату и время срабатывания, имя машины, имя пользователя, выявленные несоответствия)

это вообще реально? гуглил 2 дня. максимум что нашёл, скрипт вывода списка членов локальной группы "Администраторы" на всех компах домена, большего , судя по всему никто не делал. Дальше, наверное руками все решают, но у меня 1500 компов раскиданных по 5 зданиям, руками плохо (

есть решение, через GPO и Restricted Groups, но оно не даёт информации и детальных логов - где было что, что исправлено, на каких компах удалось сработать, на каких нет и т.п.

как у вас сделано?
1. Да, restricted groups - стандартно для таких задач... 09.12.16 02:26  
Автор: AlexD <Alexander> Статус: Member
<"чистая" ссылка>
1. Да, restricted groups - стандартно для таких задач. Потому никто и не пишет скриптов, что "уже всё есть".
2. Можно попробовать включить детальные логи для соответствующего компонента GP. Там, обычно, всё крайне подробно - про любые изменения. Правда пишутся локально на комп в текстовик. Но собрать - уже не такая проблема.
В разных разделах АД разные политики - где-то можно быть... 07.12.16 23:39  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Нужно проверять регулярно на всех компах домена кто входит
> в группу локальных админов, удалять оттуда ненужных, если
> они появляются и добавлять нужных:

В разных разделах АД разные политики - где-то можно быть локальными админами, где-то нет.
Где нельзя - скрипт зачищает группу от всего лишнего и добавляет нужное.
Содержимое групп собирает SCCM.
Логи не собираются за ненадобностью. При желании, конечно, можно сделать тем же скриптом.
Странно, что происходят изменения этой группы. Если пароль локального админа никто не знает и админы домена этого не делают, то откуда в группе локальных админов что-то добавится или удалится???

> как у вас сделано?
На ум приходит только ADSI + VBScript 06.12.16 13:36  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>


Active Directory Service Interfaces
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach