|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Domain users и административные шары: откуда взялся доступ??? |
|
||||
|
|
2008 R2 - [решено] Domain users и административные шары: откуда взялся доступ???
|
Старожил Сообщения: 247 |
Привет всем!
Столкнулся с серьезной проблемой, не знаю даже, с какой стороны искать решение... Есть один домен, с многочисленными контроллерами (два в офисе и по одному в каждом филлиале). Все контроллеры на Win 2003 Std Sp2 R2. Домен функционирует в 2003м режиме. На днях открыли новый филлиал, я туда решил поставить контроллер на Win 2008 R2. Вся схема прежняя, сменилась только версия ОС. На сервере установлены роли AD, DNS, DHCP, WSUS (пока что только установленные, но не настроенный), и бэкапы. Больше на сервере ничего нет. Репликация между ним и остальными проходит нормально. Суть проблемы в следующем: все пользователи, которые заходят в этом сайте на свои ПК имеют полный доступ ко всем админским шарам (C$, D$ и т.п.) любого сервера, клиента, кроме себя самого (при попытке зайти на \\MyComp\C$ требует пароль). В других филлиалах и офисе такой проблемы нет. Пользователи включены только в группу Domain Users. Что это может быть? Может есть какая-то особенность 2008го сервера? В гугле нарыл только одну ссылку с подобной проблемой, но решение в моей ситуации не подходит (там новые компьютеры были перемещены в другой юнит со своими политиками. У меня все компы в одном дефолтном юните). |
|
|
Отправлено: 14:56, 21-05-2010 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать т. е. могут зайти по пути \\КД\с$ и что-нибудь создать\удалить?
|
|
Отправлено: 15:04, 21-05-2010 | #2 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Цитата Ivan Bardeen:
 |
|
|
Отправлено: 15:10, 21-05-2010 | #3 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать В политиках безопасности Default Domain policy и Default Domain controller policy смотрели наличие криминала?
|
|
Отправлено: 15:20, 21-05-2010 | #4 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Хм, совсем забыл про эти остнастки.. В 2008м их почему-то нет, а в 2003м сейчас нашел подозрительную вещь - в разделе Restricted Groups создана группа Administrators (я так понимаю локальные админы), в которую включена в т.ч. группа Domain Users. Вероятно в этом и есть причина. Только не ясно три вещи:
1) Даже если пользователь включен в локальных админов, разве он может заходить на шары по сети? 2) Если ответ на п.1 - да, тогда почему он не может зайти сам на себя? 3) В последнее время я точно не делал такую настройку. Одно из двух - либо она сделана очень давно, но тогда бы проблема вылезла давно (или не вылезла бы сейчас), либо кто-то сделал ее недавно. Если так, как можно по журналам безопасности узнать, кто и когда? (в журналах события где-то за последнюю неделю должны быть). |
|
|
Отправлено: 15:54, 21-05-2010 | #5 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать 1. Так у вас все пользователи были вкючены во все группы "администраторы", в том числе и на КД
3. Ищите событие в логе "Безопасность" за номером 5136 и класс изменяемого объекта groupPolicyContainer |
|
Отправлено: 16:17, 21-05-2010 | #6 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать На новом контроллере домена есть целый ряд событий с кодом 5136 и классом groupPolicyContainer, они появились в день установки контроллера домена, через несколько часов после его запуска. Доступа к нему тогда 100% никто не имел. Записи зарегистрированы с Security ID: Null SID. А есть ли какая-нибудь утилита, которая бы резолвила GUID объекта в его имя? Чтоб руками не искать?
|
|
Отправлено: 16:42, 21-05-2010 | #7 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать Есть утилита adexplorer http://technet.microsoft.com/en-us/s.../bb963907.aspx - она может искать по GUID
Security ID - естественно обращайте внимание только на "человеческие" Если имеется ввиду GUID политики - то узнать его можно в GPMC (стандартная оснастка для правки политик в server 2008) PS: забыл уточнить копаться в логах вам нужно на всех КД домена. Так как политика могла быть изменена на любом из них |
|
Отправлено: 16:46, 21-05-2010 | #8 |
|
Старожил Сообщения: 247
|
Профиль | Отправить PM | Цитировать Спасибо за утилиту, отличная штука!
 Человеческих Security ID там нет. А этот нулевой постоянно делал добавления/удаления в Defualt Domain Controllers Policy. В общем похоже это включение было сделано раньше. Сейчас попробовал создать тестового пользователя в том же контейнере, что и пользователи проблемного филлиала, и вошел под ним на офисную машину. Попытался зайти на любой комп на C$ - запрашивает пароль, как и положено. Т.ч. похоже проблема все таки не в этом включении... |
|
Отправлено: 17:26, 21-05-2010 | #9 |
|
Ветеран Сообщения: 1001
|
Профиль | Отправить PM | Цитировать т. е. как я понял проблема остается? Пользователи по прежнему могут заходить на административные ресурсы?
|
|
Отправлено: 17:49, 21-05-2010 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| как получить доступ к папкам vista All Users,Application Data, из хр | fancytux | Хочу все знать | 1 | 15-08-2008 22:50 | |
| Доступ на шары, 2-х раб.станций разных доменов... | Rhamzes | Microsoft Windows NT/2000/2003 | 2 | 08-07-2008 23:48 | |
| EFS + Domain Users | EndErr | Microsoft Windows NT/2000/2003 | 5 | 17-01-2008 14:34 | |
| Административные шаблоны | Dr.FRECH | Microsoft Windows NT/2000/2003 | 0 | 18-10-2007 09:38 | |
| От куда взялся деструктор? | zl3p | Программирование и базы данных | 4 | 10-02-2007 22:52 | |
|
|
Время: 01:09. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
