Gå til innhold

User policies og domener

Kamera'ten

Av Kamera'ten
i IKT-drift og sikkerhet

Anbefalte innlegg

Kamera'ten

Kamera'ten

Skrevet
Skrevet

Hei!

 

Vi har gått over til et nytt system på jobb der brukerne våre har begrenset tilgang til absolutt alt.

 

Ikke engang skjermen kan fargekalibreres med Windows 7 sitt eget kalibreringsverktøy som ligger i kontrollpanelet.

 

Så med noen års erfaring for å få tilgang til administrator kontoen på diverse maskiner har jeg tenkt til å gjøre min bruker til administrator.

 

Jeg har en lokal bruker på maskinen da det ikke er en tynnklient, som naturligvis er begrenset både som lokalbruker og via AD.

 

Det jeg skal gjøre er å gjøre min bruker til administrator så jeg kan installere ArsClip (en clipboard så jeg kan lagre flere clips for mer effektivt arbeid) og ikke noe mer. Men hva skjer når jeg da logger inn på brukeren via domenet den er medlem av når den plutselig er administrator?

 

Håper at jeg unngår matnyttige svar som at det ikke er mulig å få tilgang til adminkonto uten passord etc. Dette er ingen problem, det "umulige" tar bare litt lengre tid enn det mulige :)

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
conundrum

conundrum

Skrevet
Skrevet (endret)

Jeg må si meg enig med pondus1337 og covah; dette er ikke ditt system, og du bør gå tjenestevei.

 

Det er en grunn til at nedlåste arbeidsstasjoner er populært i bedrifter, og grunnen er at slike systemer er vesentlig mer stabile. De er mindre sårbare for malware, og man får mindre problemer med at brukere installerer programvare som roter til innstillinger, skaper kompatibilitetsproblemer, gjør maskinene treige, eller ikke er tillatt til bedriftsbruk uten at det kjøpes en lisens.

 

Jeg har selv brukt utallige timer på å rydde opp på bedrifts-PCer med adware, malware, alskens toolbars, ulisensierte verktøy (typisk WinZip eller WinRAR), spill og annet ikke-jobbrelatert tøys (Spotify, iTunes), så jeg har en viss forståelse for at maskiner i bedriftsmiljøer låses ned. Samtidig kan dette absolutt medføre at nyttig funksjonalitet går tapt, og den som opplever slikt bør gi beskjed til sin overordnede og/eller IT-avdelingen, slik at funksjonaliteten kan gjenopprettes (såfremt det lar seg gjøre).

 

Hvis du derimot velger å gå rundt disse sperrene (noe som selvsagt er teknisk mulig) uten tillatelse, gjør du deg nesten garantert skyldig i brudd på interne retningslinjer. Ikke regn med å møte noen som helst forståelse dersom du blir oppdaget eller enda verre, dersom du gjør en feil og noen må komme og rydde opp etter deg.

 

Ang. programmet du ønsker å bruke, så ser det OK ut. Det er freeware (ingen lisensmessige problemstillinger) og det har fått veldig positiv omtale (ikke malware eller av dårlig teknisk kvalitet). Det er også et helt frittstående program; det må ikke installeres overhodet, bare kjøres. Det bør være gode muligheter for å få noe slikt godkjent.

Endret av conundrum
  • Liker 1
Lenke til kommentar
NoTrace

NoTrace

Skrevet
Skrevet

Nå er jeg ikke for dette, og syns som de andre at du bør ta dette via sjefen din.

I tillegg er det jo viktig å sjekke lisensieringen til softwaren for bruk i bedrift, ofte er freeware for private brukere lisensiert for bedrifter.

 

Når det er sagt skal det jo være grei skuring å legge sin egen AD bruker til i lokal admingruppe på PCen.

 

PCen er helt sikkert satt opp med en lokal adminkonto, så er jo bare til å finne passordet til denne kontoen (hash/brute-force)...

Lenke til kommentar
Kamera'ten

Kamera'ten

Skrevet
  • Forfatter
Skrevet

Tusen takk for svar alle sammen.

 

Jeg er helt enig med dere, og ville nok rådet brukere med tilsvarende mine spørsmål om å ta det tjenestevei.

Men det funker ikke. Dette er et stort selskap med byråkrater opp, ned og i mente som elsker å ri på paragrafer og retningslinjer som gjør ens egen IT-hverdag til fengslende å bruke ;)

 

@TheHaughom: Ja, tenkte også på det samme nå. Bedre å bare bruke den helt lokale kontoen, eller opprette en Admin2 konto. Dette gjør jeg uten å logge inn på maskinen eller å ha den tilkoblet nettverket i så tilfelle.

 

 

@Kakeshoma: Jeg har en del år med erfaring ja og har fagbrev som IKT driftsoperatør, men man kan ikke vite alt på egenhånd. Og jeg trodde målet med åpne diskusjonsforaer er å dele kunnskap og meninger. Nå har det seg slik at som tidligere IT-ansvarlig har jeg ikke opplevd brukere brute force SAM filene knyttet til sine lokale brukerkontoer som er underlagt en server med AD. Og har derfor ikke egentlig opplevd ringvirkningene av dette. Og nettopp derfor spør jeg her. Så det hadde vært fint om du kunne akseptere dette istedenfor å fortelle meg at jeg heller kan gjøre det på egenhånd :)

 

 

Til de som lurer, ja jeg har gått fra å være IT-ansvarlig til å være vanlig bruker :D Begynte å jobbe med mer spesialiserte områder innen infrastruktur og geografi for fiberoptiske anlegg. Ganske morsomt igrunn, går over til noe mer avansert og blir deretter strippet for alt av tillatelser til å bruke datamaskinen på en best mulig måte i jobbsammenheng :)

Lenke til kommentar
  • 1 måned senere...
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Som tidligere IT-ansvarlig, så spør du nå etter kunnskap som gjør deg svært uansvarlig...

Respekter jobben sitt utstyr. Tulle med utstyr kan du gjøre hjemme med egen maskin som er ditt eget ansvar.

 

Tviler på hele ditt utsagn om hjelp.

  • Liker 1
Lenke til kommentar
  • 2 uker senere...
kvelland

kvelland

Skrevet
Skrevet

Jeg ser du skriver at du skal ha tilgang til administrator brukeren på diverse maskiner.

 

Som du helt sikkert vet siden du er i bransjen så er det jo så sånn at man har brukere som er medlem av domain Administrator, disse brukerne har tilgang til alt i AD.

 

Hvis det er denne gruppen du forsøker å bli medlem av så skal de som jobber med IT hos dere sove godt i timen om de lar det skje.

 

Mange har et system som gjør at de har en gruppe som for eksempel kan hete "local admins", om din brukerkonto er medlem av denne gruppen så kan for eksempel group policies benyttes til å legge din bruker i den LOKALE administrator gruppen.

 

Det er denne tilgangen du sannsynligvis ønsker deg, altså å være lokal administrator på din maskin.

 

Man kan godt slenge ut ting som at alt er mulig. Men om dette er windows servere av nyere utgave så er dette utfordrende. på en eldre servere er det mulig å cracke

 

Mitt råd om du ønsker å gå ned en sånn vei er å forsøke å manipulere noen til å gi deg tilgang. Altså social engineering. Eller forsøke å få ut hashen på passordet til en lokal konto der som har full tilgang for så å forsøke å knekke denne.

 

det finnes masse verktøy der ute som kjører hashen mellom lange ordlister på bare noen sekunder.

Lenke til kommentar
ignoreme

ignoreme

Skrevet
Skrevet

Jeg tolker det dit at du kun trenger lokal admin passord på pcen din, så da kan du bruke dette verktøyet: http://www.pcloginnow.com/

 

Jeg overlater det til deg selv å finne ut om det er lurt å faktisk gjøre dette, men nå har du muligheten. Konsekvensene av det du gjør (Les, bryter retningslinjer på din egen arbeidsplass) får du ta på din egen kappe. Jeg frasier meg alt ansvar for dine handlinger.

 

For dere som mener at jeg er uansvarlig som gir han dette verktøyet, så snu rundt på det, han er uansvarlig som tar det i bruk. Om han får linken av meg, eller google, det bør være likegyldig.

 

Om du er på jakt etter å skaffe deg en domain admin bruker, så ta deg en bolle :)

Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Jeg tolker det dit at du kun trenger lokal admin passord på pcen din, så da kan du bruke dette verktøyet: http://www.pcloginnow.com/

 

Jeg overlater det til deg selv å finne ut om det er lurt å faktisk gjøre dette, men nå har du muligheten. Konsekvensene av det du gjør (Les, bryter retningslinjer på din egen arbeidsplass) får du ta på din egen kappe. Jeg frasier meg alt ansvar for dine handlinger.

 

For dere som mener at jeg er uansvarlig som gir han dette verktøyet, så snu rundt på det, han er uansvarlig som tar det i bruk. Om han får linken av meg, eller google, det bør være likegyldig.

 

Om du er på jakt etter å skaffe deg en domain admin bruker, så ta deg en bolle :)

 

Det verktøyet der vil ikke virke, da domenemaskiner ikke har noen lokale aktive kontoer..

Lenke til kommentar
DCG

DCG

Skrevet
Skrevet

 

Jeg tolker det dit at du kun trenger lokal admin passord på pcen din, så da kan du bruke dette verktøyet: http://www.pcloginnow.com/

 

Jeg overlater det til deg selv å finne ut om det er lurt å faktisk gjøre dette, men nå har du muligheten. Konsekvensene av det du gjør (Les, bryter retningslinjer på din egen arbeidsplass) får du ta på din egen kappe. Jeg frasier meg alt ansvar for dine handlinger.

 

For dere som mener at jeg er uansvarlig som gir han dette verktøyet, så snu rundt på det, han er uansvarlig som tar det i bruk. Om han får linken av meg, eller google, det bør være likegyldig.

 

Om du er på jakt etter å skaffe deg en domain admin bruker, så ta deg en bolle :)

 

Det verktøyet der vil ikke virke, da domenemaskiner ikke har noen lokale aktive kontoer..

 

 

Det kan du ikke vite. Alle domenemaskiner har en lokal administrator konto, det ikke automatikk i at denne blir disablet (den er for eksempel veldig kjekk å ha under feilsøking). En domenekontroller derimot vil ikke ha noen lokale kontoer i det hele tatt.

Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet (endret)

 

 

Jeg tolker det dit at du kun trenger lokal admin passord på pcen din, så da kan du bruke dette verktøyet: http://www.pcloginnow.com/

 

Jeg overlater det til deg selv å finne ut om det er lurt å faktisk gjøre dette, men nå har du muligheten. Konsekvensene av det du gjør (Les, bryter retningslinjer på din egen arbeidsplass) får du ta på din egen kappe. Jeg frasier meg alt ansvar for dine handlinger.

 

For dere som mener at jeg er uansvarlig som gir han dette verktøyet, så snu rundt på det, han er uansvarlig som tar det i bruk. Om han får linken av meg, eller google, det bør være likegyldig.

 

Om du er på jakt etter å skaffe deg en domain admin bruker, så ta deg en bolle :)

Det verktøyet der vil ikke virke, da domenemaskiner ikke har noen lokale aktive kontoer..

 

Det kan du ikke vite. Alle domenemaskiner har en lokal administrator konto, det ikke automatikk i at denne blir disablet (den er for eksempel veldig kjekk å ha under feilsøking). En domenekontroller derimot vil ikke ha noen lokale kontoer i det hele tatt.

 

Jo det vet jeg meget godt. Både hvordan man deployerer ut images, hvordan man melder maskiner inn i domenet og hva som skjer med de når de er i domenet. Selv din egen maskin har disablet kontoen administrator, når du installerer OS'et selv. Snakker selvsagt om nyere Windows.

 

Så lenge man ikke oppretter noen lokal konto på en domenemaskin, så er der INGEN lokale aktive kontoer på de maskinene.

man må lage en policy for å aktivere gjestekontoer og den er en lokal konto.

Endret av Slettet-t8fn5F
Lenke til kommentar
DCG

DCG

Skrevet
Skrevet (endret)

 

 

 

Jeg tolker det dit at du kun trenger lokal admin passord på pcen din, så da kan du bruke dette verktøyet: http://www.pcloginnow.com/

 

Jeg overlater det til deg selv å finne ut om det er lurt å faktisk gjøre dette, men nå har du muligheten. Konsekvensene av det du gjør (Les, bryter retningslinjer på din egen arbeidsplass) får du ta på din egen kappe. Jeg frasier meg alt ansvar for dine handlinger.

 

For dere som mener at jeg er uansvarlig som gir han dette verktøyet, så snu rundt på det, han er uansvarlig som tar det i bruk. Om han får linken av meg, eller google, det bør være likegyldig.

 

Om du er på jakt etter å skaffe deg en domain admin bruker, så ta deg en bolle :)

Det verktøyet der vil ikke virke, da domenemaskiner ikke har noen lokale aktive kontoer..

 

Det kan du ikke vite. Alle domenemaskiner har en lokal administrator konto, det ikke automatikk i at denne blir disablet (den er for eksempel veldig kjekk å ha under feilsøking). En domenekontroller derimot vil ikke ha noen lokale kontoer i det hele tatt.

 

Jo det vet jeg meget godt. Både hvordan man deployerer ut images, hvordan man melder maskiner inn i domenet og hva som skjer med de når de er i domenet. Selv din egen maskin har disablet kontoen administrator, når du installerer OS'et selv. Snakker selvsagt om nyere Windows.

 

Så lenge man ikke oppretter noen lokal konto på en domenemaskin, så er der INGEN lokale aktive kontoer på de maskinene.

man må lage en policy for å aktivere gjestekontoer og den er en lokal konto.

 

 

Dersom du har en ren Windows installasjon, hvordan melder du den inn i et domene? Jo, først og fremst må du logge inn, da må du logge inn med en lokal konto (maskinen er jo ikke ennå i domenet). Altså, du må bruke en lokal administrator konto (det vil si, den kontoen som default opprettes under installasjon av Windows).

 

Først når maskinen faktisk er meldt inn i domenet vil du ha mulighet til å disable den lokale kontoen, det skjer ikke automatisk.

 

Om du deployer via f.eks. SCCM så kan du automatisk melde maskinen inn i domenet og disable/fjerne lokale kontoer via en task sequence. Men det er absolutt ikke default oppførsel for Windows.

 

Hvorfor du blander gjestekontoer inn i dette vet jeg ikke, du har helt rett i at den ikke er enablet per default.

 

Se: http://www.windowsnetworking.com/articles-tutorials/netgeneral/Local-vs-Domain-User-Accounts.html under "Default Local Accounts" for kilde.

 

Edit: Jeg så nå at du skrev "selv din egen maskin har disablet kontoen administrator...:" - I Windows 7 og nyere blir den lokale administrator kontoen opprettet med et brukernavn du selv velger under installasjon, så den heter ikke nødvendigvis Administrator.

Endret av DCG
Lenke til kommentar
Sprokket

Sprokket

Skrevet
Skrevet

Edit: Jeg så nå at du skrev "selv din egen maskin har disablet kontoen administrator...:" - I Windows 7 og nyere blir den lokale administrator kontoen opprettet med et brukernavn du selv velger under installasjon, så den heter ikke nødvendigvis Administrator.

 

Det er alltid en konto som heter Administrator, uavhengig om du oppretter ny bruker ved clean install. Sjekk Computer Management og under Local Users and Groups.

 

 

 

Det TS er ute etter her er å få tilgang til gruppen Administrators lokalt på sin maskin, får han tak i en lokal admin konto kan han legge inn sin egen domenebruker/lokale bruker i denne å få rettigheter til å gjøre i bunn å grunn hva han vil. Hvis noen tviler på dette bør de kanskje lese seg opp på hvordan GPO'er faktisk operer på maskinen(registry). Ved å ta eierskap på visse nøkler kan man ved nok arbeid frigjøre seg fra innstillinger/policyer som er blitt satt av ledelse/it avdelingen

 

Det er dermed ikke sagt at TS bør gjennomføre dette. I firmaet der jeg arbeider er dette grunn for oppsigelse pga brudd på retningslinjer. Istedet for å bruke programmet kan du forøvrig ta i bruk notepad slik som vanlige dødelige, hvis copy/paste er så viktig.

Lenke til kommentar
Gjest Slettet-t8fn5F

Gjest Slettet-t8fn5F

Skrevet
Skrevet

Kontoen administrator er der, men disablet. Den kontoen du oppretter når du installere Windows 7 manuelt, er medlem av administratorgruppen.

En maskin som tankes til et domene, er helt tom og klar for første bruker til å logge på. Der er ingen som trenger å logge på maskinen, dermed er der ingen lokale kopier av noen domenekontoer.

Om du trenger å logge på en maskin for å melde den inn i et domene, så er det slikt man gjorde i forrige årtusen og i dag gjøre det ikke slikt. Det har ikke blitt gjort slikt siden Windows 2008 server kom med WDS. Før det hadde man RIS, men måte lage et script som gjorde alle nødvendige forandringer fra en manuell innstalasjon.

Lenke til kommentar
Snylter

Snylter

Skrevet
Skrevet

Mange har et system som gjør at de har en gruppe som for eksempel kan hete "local admins", om din brukerkonto er medlem av denne gruppen så kan for eksempel group policies benyttes til å legge din bruker i den LOKALE administrator gruppen.

 

Det er denne tilgangen du sannsynligvis ønsker deg, altså å være lokal administrator på din maskin.

 

Man kan godt slenge ut ting som at alt er mulig. Men om dette er windows servere av nyere utgave så er dette utfordrende. på en eldre servere er det mulig å cracke

Det er vel ikke på en server han ønsker tilgang, men på en PC?

Det han etterspør her er fullt mulig å få til, også uten tilgang til noen administratorkonto i utgangspunktet.

Alt man trenger er et installasjonsmedium og litt kunnskap, så kan man gi seg selv tilgang som System-kontoen på maskinen.

System har rettigheter som gjør at den er mer verdt enn Administrator :)

 

Hvordan man gjør det har jeg ikke tenkt til å avsløre, det er en sikkerhetsrisiko å bruke slike metoder.

Dersom man bruker UEFI og Secure Boot i det aktuelle miljøet er det en del verre.. Bitlocker vanskeliggjør det også.

 

Det TS er ute etter her er å få tilgang til gruppen Administrators lokalt på sin maskin, får han tak i en lokal admin konto kan han legge inn sin egen domenebruker/lokale bruker i denne å få rettigheter til å gjøre i bunn å grunn hva han vil. Hvis noen tviler på dette bør de kanskje lese seg opp på hvordan GPO'er faktisk operer på maskinen(registry). Ved å ta eierskap på visse nøkler kan man ved nok arbeid frigjøre seg fra innstillinger/policyer som er blitt satt av ledelse/it avdelingen

 

Det er dermed ikke sagt at TS bør gjennomføre dette. I firmaet der jeg arbeider er dette grunn for oppsigelse pga brudd på retningslinjer. Istedet for å bruke programmet kan du forøvrig ta i bruk notepad slik som vanlige dødelige, hvis copy/paste er så viktig.

Han kan gjøre dette uten tilgang til en lokal admin-konto.

 

Og jeg er helt enig, dette bør ikke gjøres. Her ville slikt medført en seriøs reprimande man sent vil glemme.

Lenke til kommentar
Sprokket

Sprokket

Skrevet
Skrevet (endret)

Det er vel ikke på en server han ønsker tilgang, men på en PC?

Det han etterspør her er fullt mulig å få til, også uten tilgang til noen administratorkonto i utgangspunktet.

Alt man trenger er et installasjonsmedium og litt kunnskap, så kan man gi seg selv tilgang som System-kontoen på maskinen.

System har rettigheter som gjør at den er mer verdt enn Administrator :)

 

Hvordan man gjør det har jeg ikke tenkt til å avsløre, det er en sikkerhetsrisiko å bruke slike metoder.

Dersom man bruker UEFI og Secure Boot i det aktuelle miljøet er det en del verre.. Bitlocker vanskeliggjør det også.

 

 

Han kan gjøre dette uten tilgang til en lokal admin-konto.

 

Og jeg er helt enig, dette bør ikke gjøres. Her ville slikt medført en seriøs reprimande man sent vil glemme.

 

Ble litt opphengt i adminkontoen, men du har selvfølgelig helt rett, Systems Wins every time.

Endret av Sprokket
Lenke til kommentar
Sprokket

Sprokket

Skrevet
Skrevet

Kontoen administrator er der, men disablet. Den kontoen du oppretter når du installere Windows 7 manuelt, er medlem av administratorgruppen.

En maskin som tankes til et domene, er helt tom og klar for første bruker til å logge på. Der er ingen som trenger å logge på maskinen, dermed er der ingen lokale kopier av noen domenekontoer.

Om du trenger å logge på en maskin for å melde den inn i et domene, så er det slikt man gjorde i forrige årtusen og i dag gjøre det ikke slikt. Det har ikke blitt gjort slikt siden Windows 2008 server kom med WDS. Før det hadde man RIS, men måte lage et script som gjorde alle nødvendige forandringer fra en manuell innstalasjon.

SCCM Ber deg nå spesifikt om å legge til adminkonto og en domenekonto i task sekvensen. Har forøvrig aldri prøvd å å latt adminkontoen stå som "tom". Så skal ikke påstå noe som får meg til å spise ordene senere.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...