roccomarcy 20 Geschrieben 4. März 2020 Melden Teilen Geschrieben 4. März 2020 Hallo, ich habe mir via Pingcastle einen Bericht über eine Domäne ziehen lassen. Dort wird angemerkt, dass sich gewisse Benutzergruppen am Domänen-Controller anmelden dürfen. Zitat Anmelden als Dienst (u.a. div. MSSQLUser2005) Anmelden als Stapelverarbeitungsauftrag (u.a. div. MSSQLUser2005) Anmelden über Remotedesktopdienste zulassen (Administratoren, Remotedesktopbenutzer) Generieren von Sicherheitsüberwachungen (u.a. div. MSSQLUser2005) Ersetzen eines Tokens auf Prozessebene (u.a. div. MSSQLUser2005) Lokal anmelden zulassen (Benutzer, Sicherungs-Operatoren, Administratoren) Hat jemand von euch ein Screenshot der Standardeinstellungen dieser Richtlinien? Ich glaube nicht, dass es von Microsoft so vorgesehen war, dass sich Benutzer lokal anmelden dürfen. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. März 2020 Melden Teilen Geschrieben 4. März 2020 (bearbeitet) Moin, das ist ziemlich typisch für Umgebungen, wo der Admin die Bedeutung der Gruppen missverstanden hat. Es gibt tausende Umgebungen, in denen User sich per RDP an den DCs anmelden dürfen, aber nicht an den Terminalservern. Wenn du also schon dabei bist - werte auch noch mal die Gruppen unter "Builtin" aus. [AD-Standardgruppen auswerten | faq-o-matic.net]https://www.faq-o-matic.net/2014/09/01/ad-standardgruppen-auswerten/ [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Hier sind die Standardeinstellungen aus der Default Domain Controllers Policy: Hm, das sollte eigentlich eine Tabelle sein. Naja, lass ich jetzt so. Hier noch ein Screenshot der lokalen Default-Einstellung, da die DDCP gar nicht alles enthält: Gruß, Nils bearbeitet 4. März 2020 von NilsK Ergänzung - man gestatte mir hier die Screenshots. 1 Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 4. März 2020 Melden Teilen Geschrieben 4. März 2020 (bearbeitet) Tausend Dank, hatte ich gerade auch gesucht bearbeitet 4. März 2020 von v-rtc Shorter Zitieren Link zu diesem Kommentar
roccomarcy 20 Geschrieben 5. März 2020 Autor Melden Teilen Geschrieben 5. März 2020 Moin, vielen Dank. :) Die SIDs in dem folgenden Screenshot gehören doch sicherlich Konten an, die nicht mehr existieren und können gelöscht werden, oder? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. März 2020 Melden Teilen Geschrieben 5. März 2020 Moin, vermutlich schon. Da die SIDs aus unterschiedlichen Domänen stammen, wäre aber auch eine temporäre Verbindungsstörung zu diesen Domänen denkbar, daher kann man das von hier aus nicht genauer sagen. Ihr solltet das auch mal zum Anlass nehmen, eure IT-Security und eure Prozesse kritisch zu betrachten. Ich wüsste etwa gerade nicht, warum auf einem DC Dienste mit Anmeldekonten aus sieben verschiedenen Domänen laufen sollten. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. März 2020 Melden Teilen Geschrieben 5. März 2020 Stop! S-1-5-80 und S-1-5-82 sind keine normalen User-Accounts... Das sind Dienste-SIDs, die sich aus dem Dienstnamen ableiten (sc getsid)... Und die können hier nicht wirklich aufgelöst werden, das geht nur auf Rechnern, auf denen es die entsprechenden Dienste gibt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.