xant05 10 Geschrieben 13. Januar 2010 Melden Teilen Geschrieben 13. Januar 2010 Hi, ich möchte mich gerne an einem Client als normaler Domänenbenutzer anmelden, von dort als Domänen-Administrator die Domäne verwalten. Rausgefunden habe ich mittlerweile, das wenn man unter Windows7 im System32 ordner die entsprechenden MSC dateien mit "Rechtsklick -> Als Administrator ausführen" öffnen, kann man dort einen Admin Account eintippen. Geht das auch unter anderen Windows Versionen? Was nicht geht, ist über die Konsole "runas /user:domain\user c:\Windows\dsa.msc" einzugeben. Die Rückmeldung : RUNAS-FEHLER: c:\windows\system32\dsa.msc kann nicht ausgeführt werden 193: c:\windows\system32\dsa.msc ist keine zulässige Win32-Anwendung. wenn ich die mmc.exe starten will: RUNAS-FEHLER: c:\windows\system32\mmc.exe kann nicht ausgeführt werden 740: Der angeforderte Vorgang erfordert erhöhte Rechte.. Ich hatte vor, eine Bat zu erstellen über die man mit einem klick direkt in die Verwaltungskonsole kommt, oder sowas in der Art. dabei ist mir aber grundlegend noch etwas viel entscheidenderes aufgefallen: Wenn ich als Stinknormaler Domänenbenutzer mir die RSAT installiere, kann ich einfach so alles einsehen. Ich kann mir jegliche GPOs anschauen, die komplette Domainstruktur, alles. Ich kann nichts ändern, aber alles sehen. Wenn ichs jetzt darauf anlegen wollte, wäre es so ein leichtes sicherheitslücken im AD zu finden und mir darüber zugang zu erschleichen (testuser abklappern, lücken in sicherheitsrichtlinien finden etc.) kann ich das irgendwie abstellen? Wenn ich per GPO das ausführen von den Managementkonsolen als user verbiete, kann ich auch den Oberen teil des Posts vergessen. hat da jemand ne Idee zu? für gescheite Google ergebnise bin ich nicht kreativ genug ;) Gruß xant05 edit/ gehört wohl eher in das AD forum. Kann das jemand verschieben? Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 15. Januar 2010 Melden Teilen Geschrieben 15. Januar 2010 Das hier sollte unter W7 auch noch funktionieren: Die GPMC unter Vista verwenden Zitieren Link zu diesem Kommentar
NilsK 2.966 Geschrieben 16. Januar 2010 Melden Teilen Geschrieben 16. Januar 2010 Moin, deine Erkenntnis ist alles andere als neu. Standardmäßig darf schon seit jeher jeder Benutzer fast alle Objekte in Active Directory lesen. In den meisten Umgebungen stellt das kein Problem dar. Wenn Bedarf besteht, das zu ändern, kann man das per Berechtigung auf die Objekte ändern - wenn man weiß, was man tut. Den Zugriff auf die Verwaltungstools zu unterbinden, ändert an dem Problem (so es denn eins ist) genau gar nichts, denn mit anderen Tools kommt der User wieder ran - er hat ja Leserechte. Ein echtes Problem entsteht eigentlich nur, wenn der Admin seine Hausaufgaben nicht gemacht hat und privilegierte Konten nicht mit ausreichend sicheren Kennwörtern geschützt sind. Gruß, Nils Zitieren Link zu diesem Kommentar
xant05 10 Geschrieben 20. Januar 2010 Autor Melden Teilen Geschrieben 20. Januar 2010 Danke für den Link sunny61. Zu dem anderen Problem (ja, es ist eins): Microsoft empfielt in diesem Artikel: http://technet.microsoft.com/de-de/library/cc786285(WS.10).aspx die Zugriffsberechtigungen nicht zu ändern. Die Aussage finde ich persöhnlich recht schwammig, aber nun gut. Aus welchem grund haben normale user denn lese Berechtigungen? Klar, im grunde genommen ist das relativ egal, wenn der Administrator alles richtig gemacht hat. Aber sind wir mal ehrlich, jeder macht Fehler. Und es ist nunmal so das es einfacher ist aus einem Gefängnis auszubrechen wenn man einen Gebäudeplan hat als wenn nicht. In jedem System gibt es schwachstellen, das wurde mitlerweile oft genug unter beweis gestellt. Also was für mich wirklich noch interessant ist, warum ein user leseberechtigung auf die Objekte hat, und was für nebenwirkungen es haben könnte wenn diese gesperrt werden. (keine sorge, hier geht es erstmal um einen Workaround - keine Umsetzung) Dank und Gruß Xantos Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Danke für den Link sunny61. Zu dem anderen Problem (ja, es ist eins): Microsoft empfielt in diesem Artikel: Empfehlungen für das Zuweisen von Berechtigungen für Active Directory-Objekte die Zugriffsberechtigungen nicht zu ändern. Die Aussage finde ich persöhnlich recht schwammig, aber nun gut. Aus welchem grund haben normale user denn lese Berechtigungen? Klar, im grunde genommen ist das relativ egal, wenn der Administrator alles richtig gemacht hat. Aber sind wir mal ehrlich, jeder macht Fehler. Und es ist nunmal so das es einfacher ist aus einem Gefängnis auszubrechen wenn man einen Gebäudeplan hat als wenn nicht. In jedem System gibt es schwachstellen, das wurde mitlerweile oft genug unter beweis gestellt. Also was für mich wirklich noch interessant ist, warum ein user leseberechtigung auf die Objekte hat, und was für nebenwirkungen es haben könnte wenn diese gesperrt werden. (keine sorge, hier geht es erstmal um einen Workaround - keine Umsetzung) Dank und Gruß Xantos Hi Xantos, schon was hescheites gefunden dazu? LG Zitieren Link zu diesem Kommentar
NilsK 2.966 Geschrieben 1. Februar 2010 Melden Teilen Geschrieben 1. Februar 2010 Moin, in der typischen Umgebung benötigt ein User schon deshalb Leseberechtigungen auf die AD-Objekte, weil er ja in der Lage sein soll, Berechtigungen auf eigene Objekte zu vergeben. Dazu muss er die Gruppen und User, die er berechtigen soll, natürlich auch sehen. Wenn man weiß, was man tut und ein entsprechendes Konzept ausgearbeitet und getestet hat, kann man das natürlich ändern. Dafür ist das Berechtigungskonzept innerhalb des AD da. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.