Jump to content

antares

Members
  • Gesamte Inhalte

    47
  • Registriert seit

  • Letzter Besuch

Profile Fields

  • Member Title
    Newbie

Fortschritt von antares

Enthusiast

Enthusiast (6/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

10

Reputation in der Community

  1. Hallo:) Auf einem DC versuche ich mit 'gpedit.msc' die lokalen Richtlinien, insbesondere Einträge unter "Zuweisen von Benutzerrechten" etwas aufzuräumen. Dort finde ich manchmal unaufgelöste SIDs, ein Beispiel: "Annehmen der Clientdatei nach Authentifizierung" (Dieser Wert hat das binäre Symbol und ist also nicht von der DDCP geerbt worden) Nach einem Doppelklick sehe ich folgende Einträge: ----------------------------- *S-1-5-21-128.....-1005" *S-1-5-21-128.....-1006" Administrators DIENST IIS_WPG ----------------------------- Die beiden SIDs oben kann ich auch mit sid2user.exe nicht auflösen. Heutige aktive Domänenbenutzer haben SIDs, welche mit "S-1-5-21-163..." beginnen. Leider verstehe den Aufbau der SIDs zuwenig, und weiss auch nicht genug über deren Auflösung in den Richtlinien. Jedenfalls zeigt "FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log" keine Resultate an. Kann ich solche nicht aufgelöste SIDs als Waisen betrachten, die von gelöschten Usern stammen und sie gefahrlos löschen?
  2. danke sehr, ich werde das testen sobald ich wieder vor ort bin.
  3. Wenn ich auf einer beliebigen XP Workstation (adminpak.msi installiert) das DHCP Snap-In hinzufüge und dann zu einem Server verbinde möchte, wird ausser dem (einzigen) korrekten DHCP Server auch noch der Name eines alten DHCP/ DC Servers als Verbindungsziel aufgelistet. Dieser alte Server wurde nie ersetzt und seine Meta Daten mit dem bei MS beschriebenen Verfahren gelöscht. (D.h. als DC ist er im AD nicht mehr zu finden.) Ist diese "Erinnerung" bezüglich DHCP im AD abgelegt, kann ich das mit ADSIEDIT finden und löschen? Danke und Gruss antares
  4. Stimmt, daran habe ich noch gar nicht gedacht! Gibt es mögliche 'side effects', oder verlieren die User beim Downgrade der FREIGABE Rechte von "Vollzugriff" auf "Ändern" noch sonst etwas, neben der Möglichkeit auch bei Vollzugriff unter den Dateirechten "Berechtigungen zu ändern" ? (Eine Desktop Umleitung ist betroffen und die angebundenen HomeDirDrives) Diese werden bei neuen Usern erstmalig erzeugt. Dies wird mit Dateirechten im übergeorneten Folder erreicht und sollte vom diesem Downgrade eben hoffentlich nicht betroffen sein..) Und falls zur Frage zwei (Tool) noch jemand eine Idee hat, wäre ich sehr dankbar ;) . antares edit: PAT, ich habe dein Post zu spät gesehen, danke! Dann bleibt wohl nur noch die Frage nach dem Tool für die Anzeige eines Besitzers, wenn der Admin schon ausgesperrt ist.
  5. Hallo Die Steuerung der eventlog Security geschieht in der Registrierung: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD Der Eintrag ist in der sog. SDDL-Syntax und reichlich kryptisch. Aufschluesselung des Eintrags: O:BA Object owner is Built-in Admin (BA). G:SY Primary group is System (SY). D: This is a DACL, rather than an audit entry or SACL. (D;;0xf0007;;;AN) Deny Anonymous (AN) all access. (D;;0xf0007;;;BG) Deny Built-in Guests (BG) all access. (A;;0xf0005;;;SY) Allow System Read and Clear, including DELETE, READ_CONTROL, WRITE_DAC, and WRITE_OWNER (indicated by the 0xf0000). (A;;0x7;;;BA) Allow Built-in Admin READ, WRITE and CLEAR. (A;;0x7;;;SO) Allow Server Operators READ, WRITE and CLEAR. (A;;0x3;;;IU) Allow Interactive Users READ and WRITE. (A;;0x3;;;SU) Allow Service accounts READ and WRITE. (A;;0x3;;;S-1-5-3) Allow Batch accounts (S-1-5-3) READ and WRITE. Bitmuster: 0x0001 ELF_LOGFILE_READ Permission to read log files. 0x0002 ELF_LOGFILE_WRITE Permission to write log files. 0x0004 ELF_LOGFILE_CLEAR Permission to clear log files. Möchtest Du einen speziellen User berechtigen das eventlog zu durchforsten so brauchst du als ersten dessen SID (dazu gibt es Skripts auf dem Netz, s. unten.) und fügst diese Zeile an obigen Eintrag an: A;;0x2;;;SID Damit ist dann der eventlog DIESES EINEN Servers konfiguriert. Für andere Server muss dieselbe Prozedur wiederholt werden. Offizieller KB von MS: How to set event log security locally or by using Group Policy in Windows Server 2003 weitere Infos und SID Skript unter: "Permission denied" error while calling WSH's LogEvent method - ASP antares
  6. Auf einem Quota-relevanten Fileshare soll verhindert werden, dass auf der Dateirechtsebene Besitzer ihrer Dateien den Administrator ausperren können. Da der Besitzer immer Vollmacht hat und die Sicherheitseinstellungen seiner Dateien nach seinem Gusto gestalten kann, frage ich hier nach Möglichkeiten sowas zu erreichen. Auch auf der Suche bin ich nach einem (command line) Tool, welches einem Serveradmin den Besitzer einer Datei anzeigt, auch wenn das GUI meldet, dass er nicht angezeigt werden könne. (evlt würde auch nur die SID reichen, die kann man sicherlich mit Standard-Tools auflösen.)
  7. Ok danke... Dann muss ich wenigstens nicht länger Bugs suchen, wenn's ein Feature ist ;)
  8. Also nur damit ich das richtig verstehe: Es ist tatsächlich NORMAL (*schock*), dass USB Sticks die Netzlaufwerke NICHT berücksichtigen. Oder anders gesagt, Windows weist einem Stick einen Buchstaben zu, auch wenn dort ein Netzlaufwerk "liegt", und das sogar als Standardnormalverhalten?
  9. Unsere XP Clients (in einer W2k3 Domäne) legen zuweil ein eigenartiges Verhalten zu Tage: Physikalisch vorhanden sind: "Datenträger0", "CD 0" und ein virtuelles "CD 1" (via Daemon Tools). Datenträger0: - primäre NTFS Partition -> C:\ - primäre FAT32 Partition mit LINUX -> kein Buchstabe zugewiesen (gewollt) ---erweiterte Partition---- - logisches FAT32 Laufwerk -> kein Buchstabe zugewiesen (gewollt) - logisches FAT32 Laufwerk -> D:\ CD0: F:\ CD1: E:\ (ich hätte CD0 E:\ und CD1 F:\ erwartet, aber dies ist vielleicht auf eine menschliche Interaktion zurükzuführen und hier auch nicht das Problem.) Nun loggt sich ein User ein, und das Logon Skript bindet noch folgende Netzlaufwerke an: G: (ein CD Server) H: (individuelles Homelaufwerk) K: (Klassenlaufwerke) V: (Vorlagen) Bis hier funktioniert alles toll! Nun steckt ein User einen USB Stick ein. Dieser wird aber nun "unter" das CD Laufwerk G: gemountet und der Inhalt ist im Explorer nicht einsehbar da die Daten des CD Servers angezeigt werden (was auch korrekt ist). Wenn nun mittels Rechtsklick das Laufwerk G: der CD Server getrennt wird, kommt dann der Inhalt des Sticks zum Vorschein noch immer unter dem Buchstaben G. Dieses Verhalten zeigt sich bei allen Userklassen (eingeschränkt wie privilegiert). Hat jemand Ideen dazu? Mir ist nicht klar, nach welchen Regeln die USB Massenspeicher einen Buchstaben erhalten. Eventuell wichtig: Damit Schüler ohne Privilegien ihren Stick brauchen können. Haben wir die gängigsten Sticks auf dem Quell-Image Computer schon mal eingesteckt und dem System "bekanntgemacht" . Diese Testumgebung hat natürlich eine leicht andere "Laufwerksbuchstaben-Umgebung". Das dürfte aber meiner Ansicht nach nichts ausmachen. Sticks sind ja genau dazu da irgendwo eingesteckt zu werden...
  10. ja das geht, mindestens wenn ich als /user: einen anderen admin angebe. (bei schülern meldet es einen fehler: benutzerkontenbeschränkung
  11. Hallo Leute Weiss jemand gerade WO ich folgendes Verhalten einstellen könnte: Ich habe lokal auf C: eine vbs Datei, welche ich gerne unter anderem Usernamen ausführen möchte. Ich erzeuge also eine Verknüpfung und gehe auf: Eigenschaften->Verknüpfung->Erweitert: Dort sind beide Checkboxen deaktiviert (ausgegraut). Wo/ Wie kann man das ändern? Freundliche Grüsse antares
  12. Mit Windows 2003 Server / XP ist die Skripting-Unterstützung für DiskQuotas verbessert worden und es ist nun für Administratoren kein Problem mehr, mittels WMI ( Verwalten von Datenträgerkontingenten in Windows Server 2003 und Windows XP ) von jedem Computer aus Quota Objekteigenschaften abzufragen, darunter auch objQuota.Limit objQuota.WarningLimit objQuota.DiskSpaceUsed für einen speziellen User. Am Nützlichsten wäre es allerdings, wenn das der User selbst tun könnte, z.B. im Logonskript, und dann eine Meldung bekäme, wenn die Warngrenze überschrittem wird. Leider sehe ich nur "Permission denied", wenn ich als "normaler User" diese Zeile ausführe: Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2") Kann man dies umschiffen, ohne weitere Nachteile für die Sicherheit? Am besten wäre es, wenn der User nur SEINE Limiten abfragen dürfte... Gibt es dazu Lösungen?
×
×
  • Neu erstellen...