hallo allerseits,
hier eine härtere Nuß:
Eine normale Benutzer-Sitzung , gestartet auf einem
x-beliebigen Client der Domäne, läuft aus Sicht des Clients im richtigen Kontext des Benutzers
also: der user bekommt sein servergespeichertes Profil runtergeschoben und alle settings, wie
für ihn vorgesehen.
ABER: aus Sicht der Servers läuft diese Sitzung im Kontext des Domänen-admins, d.h. mit
Domänen-admin-rechten !!!
legt nun dieser Benutzer eine Datei auf einem Netzlaufwerk an, hat sie den Besitzer: Administratoren
und er darf auch überall hinschreiben, wo der Domänen-admin R/W-Rechte hat.
Serververwaltung / Sitzungen: für den fragl. Client: Administrator
dto. / offene Dateien: alle von diesem Client gerade auf dem Svr. bearbeiteten Dateien: Administrator Lesen/Schreiben
klingt nach dem Ergebnis eines schier unglaublichen Exploits,
deshalb, bevor wilde Spekulation um sich greift, bitte den Rest
in Ruhe durchlesen.
ich habe einige Tage nebenbei an dem Phänomen geforscht.
System:
w2k3 Std. SP2 ( Domain-ctrler, Fileserver, Druckserver )
kein exchg.
SQL 2005
kaum GPOs definiert ( nur office , Desktop-Erscheinungsbild, IE-Startseite, "auf netzwerk warten" ).
keine Delegation von Rechten
NTFS-R/W-Rechte im Nutzdateisystem ( = die Dateien des Kunden ) sind ziemlich differenziert festgelegt.
Clients : XP SP3
auf den Clients ist Standard-office-SW insta.
dazu läuft der UHC ( user profile hive cleanup svc)
alle user, ausser Domänenadmins haben server-basierendes Profil
dazu ein Vista - Client, dessen einziger user KEIN server-basierendes profil hat.
nur dieses eine zuletzt neu angelegte Benutzerkonto ( das auf einem XP-Client genutzt wird ) wird zum "manchmal-admin",
alle anderen ca. 20 Benutzer in dieser Domäne sind bisher nicht betroffen.
für diesen Nutzer wurde keine Sicherheitsgruppe neu angelegt, er ist
wie andere Nutzer auch, in verschiedenen Sich.-gruppen Mitglied.
und weil das allein noch nicht spannend genug ist,
noch etwas mehr:
von 10 An- /Abmeldungen dieses Benutzers an der Domäne, geht die
erste am Tage - also nach Einschalten des Clients - fast immer auf "Administrator" und die weiteren bei schon eingeschaltetem Client meist auf
den Benutzer.
macht man das oft genug, dauernd hintereinander, kommt ein Verhältnis 80% Nutzer und 20% admin raus.
es ist ab dem 2. mal aber Roulette, also nie verhersagbar.
das habe ich durchgespielt, als ich völlig allein am Netz war.
es sind keine offensichtl. fehler in irgendwelchen logs zu sehen.
kein anderes problem mit dem ADS.
ausser:
gelegentlich wird bei benutzeranmeldung auf clients
dort das profil des users ( betrifft alle user mit serverbasierenden Profilen und alle clients )
nicht in den schon vorh. ordner
<username> repliziert, sondern es werden neue strukturen
angelegt:
<username>.<domäne>
<username>.<domäne>.000
<username>.<domäne>.001
aber mehr als 4 solche Leichen/Benutzerkonto sind auch nach 3 Jahren Betrieb auf keinem Client drin.
Das war schon früher oft so und man sieht das auch
auf Clients in anderen Domänen.
Im Sicherheitsprotokoll des Servers (Ereignisanzeige / Sicherheit) stehen bei erster Anmeldung des Benutzers am Tag
die Ereignisse 576, 540, und 538 erfolgreich
ganz normal unter diesem Benutzer drin und danach kommt in dieser Session nichts mehr von/unter diesem Nutzer,
denn danach ist er Administrator und alles weitere in diesem Log passiert nur noch unter dem Admin-Konto, gerade
für diesen Client, also auch die regelmäßige Auffrischung der Benutzeranmeldung.
Weil hier der Patz nicht reicht, setze ich in der 1. Antwort fort.....