Jump to content

Umgehen der Domain Controller Policy


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich arbeite als Comp. Technician an einer Schule und habe jetzt bemerkt, dass die Schueler die Moeglichkeit haben, das Laden der Domain Controller Policy zu umgehen. :cry: Sie geben ihr Login und Ihr Password an, warten bis die lokalen security settings abgearbeitet sind, trennen dann die Verbindung vom Netzwerk indem sie einfach das Kabel aus der Netzwerkkarte ziehen, lassen den Rest des Startvorgangs ablaufen und verbinden danach den Computer wieder mit dem Netzwerk.

 

Weiss jemand, ob es eine Sicherheitseinstellung gibt, die das Anmelden ohne Domain Controller Policy verhindert?

 

Gruss

Ingrid

Link zu diesem Kommentar
Original geschrieben von Ingrid

Hallo,

 

....Sie geben ihr Login und Ihr Password an, warten bis die lokalen security settings abgearbeitet sind, trennen dann die Verbindung vom Netzwerk indem sie einfach das Kabel aus der Netzwerkkarte ziehen...

 

Hi!

 

Das ist ja ein Knaller! Hab ich auch noch nicht gehört.

 

"...Weiss jemand, ob es eine Sicherheitseinstellung gibt, die das Anmelden ohne Domain Controller Policy verhindert?..."

 

Solch eine Sicherheitseinstellung gibt es (so weit ich weiß) nicht. Zudem ist es ja auch so, daß die Anmeldung zu diesem Zeitpunkt ja schon erfolgt ist (Meine Quelle: MS Windows 2000 Sicherheit).

 

Bis Du hier eine Lösung gefunden hast, würde ich vorschlagen (auch wenn es mit etwas Arbeit verbunden ist), daß Du jeweils i.d. Lokalen Sicherheitseinstellungen an den Arbeitsplätzen die gleichen restriktiven Sicherheitsrichtlinien entspr. der Domäne konfigurierst.

 

Gruß

 

flexxxen

 

PS: "saracs" berichte mal von Deinem Test! Interessiert mich ;-)

Link zu diesem Kommentar

Hi,

 

was ist das für ne Schule? Darauf muss man erst mal kommen. Also ganz spontan fällt mir dazu leider auch nur so was blödes ein wie Kabel verkleben oder Rechner wegschließen.

 

Oder du schreibst ne ein Skript welches permanent Pings an die clients sendet und bei mehr als 10 fehlerhaften sofort ne Meldung bei dir aufpoppen läßt. Von wegen Rechner XY vom Netz getrennt.

 

Gruß

Link zu diesem Kommentar

Hi Ingrid

 

Arbeitest Du mit Roaming Profiles. Falls ja, es gibt eine Einstellung, dass das Roaming Profil beim Login geladen werden muss, ansonst wird das Loging als fehlerhaft abgebrochen. Ziehst Du jetzt das Netzkabel wird das Profil nicht korrekt geladen und eventuell unterbindet das dann die Möglichkeit deine Policies zu umgegen.

 

 

Ist nur so eine Spontanidee. Müsstest Du mal ausprobieren. ;)

 

Gruss

Georges

Link zu diesem Kommentar

Mir kommt da nur die 'Gegenmöglichkeit': Eine lokale Richtlinie absichtlich falsch einstellen, bsp. ein augenschädigendes Hintergrundbild oder eine absichtlich nicht funktionierende Proxy-Einstellung für den IE. Beides wird erst von der Domain Controller Policy auf korrekte Werte korrigiert. Wenn die Jungs dann kommen und fragen, weshalb sie nicht mehr surfen können, dann weißt Du, wer's war. Die Idee allerdings ist klasse.

 

------------

Gruß, Auer

Link zu diesem Kommentar

Über ein Logonscript (ggf. über HKLM/Software/Microsoft/Windows/CurrentVersion/Run), an diesen Schlüssel kommen die User nicht ran, einen Aufruf der SCECLI mit /enforce auslösen, mal probieren ob man mit

:Anfang

secedit /refreshpolicy machine(User?)_policy /enforce

IF ERRORLEVEL 1 GoTo Anfang

 

oder so ähnlich eine Schleife erzeugen kann, bis der DC wieder da ist.

 

Sonst

 

:Anfang

Ping IP_des_DC -n 1 | find /I "Antwort"

If Errorlevel 1 GoTo Anfang

secedit /refreshpolicy machine(User?)_policy /enforce

 

MfG

 

Apotheker

Link zu diesem Kommentar

Irgendeinen Registry Eintrag heraussuchen der durch die Policy

gesetzt wird und dir besonders wichtig ist.

In das VBS Script unten einsetzen und das Script über

HKLM/Software/Microsoft/Windows/CurrentVersion/Run aufrufen.

Ist der Wert nicht gesetzt wird der Benutzer wieder abgemeldet.

 

-------------------------------------------------------------------------------

Set WshShell = WScript.CreateObject("WScript.Shell")

If Not WshShell.RegRead("HKCU\SOFTWARE\irgendwas") = "blablabla" Then Shutdown()

WScript.Quit(0)

 

Sub Shutdown()

Const EWX_LOGOFF = 0

Const EWX_SHUTDOWN = 1

Const EWX_REBOOT = 2

Const EWX_FORCE = 4

Const EWX_POWEROFF = 8

Set OpSysSet = GetObject("winmgmts:{(Shutdown)}//./root/cimv2").ExecQuery("select * from Win32_OperatingSystem where Primary=true")

For Each OpSys in OpSysSet

OpSys.Win32Shutdown EWX_LOGOFF

Next

End Sub

-------------------------------------------------------------------------------

 

thorgood

Link zu diesem Kommentar

Hi!

 

Bin mir nicht ganz sicher, aber ich hab hier in meiner W2K-Domänen mal in den Gruppenrichtlinien gestöbert und etwas gefunden:

 

Computerkonfiguration|Windowseinstellungen|Sicherheitseinstellungen|lokale Richtlinien|Sicherheitsoptionen:

 

- System sofort herunterfahren, wenn Sicherheitsüberprüfungen nicht protokolliert werden können.

 

Ich bin mir nicht sicher, ob Du damit etwas anfangen kannst, aber teste mal ein wenig. Logischerweise muss die Protokollierung dafür aktiviert sein... eine eventuelle Batch kannst Du hier auch per Richtlinien (lokale) laufen lassen, indem Du es unter Startskript einträgst.

Link zu diesem Kommentar

Jetzt aber:

 

Du hast unter Win2000 die Möglichkeit, die Richtlinien in definierten Zeiträumen aktualisieren zu lassen. Zu finden ist diese Einstellung unter

 

Benutzereinstellungen|Administrative Vorlagen|Windows-Komponenten|System|Gruppenrichtlinien|Gruppenrichtlinienaktualisierungsintervall.

 

Das ist zwar nicht des Rätsels beste Lösung, kann aber (je nach Serverauslastung, Netzbandbreite und Clientzahl) recht nieder gehalten werden, somit können die Jungens und Mädels zumindest nach gewisser Zeit keinen Mist mehr machen.

Link zu diesem Kommentar

Habe mir aus allen Tips und Hinweisen eine Loesung zusammengebaut:

 

- run script (Eintrag in Registry) bei logon

- ping an den Server

- wenn Server nicht antwortet start von shutdown.exe (vom

Internet) :p

 

Die Loesung, die DC policy noch einmal zu laden gefaellt mir zwar vom Grundsatz her besser, leider dauert es aber manchmal einige Minuten bis sie geladen ist. Und das ist mir ein bisschen zu gewagt.

 

Bei Netzwerkproblemen ist diese Loesung auch nicht so ganz toll, aber ich habe ja als Admin immer die Moeglichkeit es zu aendern.

 

Vielen Dank fuer Eure Hilfe.

Ingrid

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...