roccomarcy 20 Geschrieben 4. März 2020 Melden Geschrieben 4. März 2020 Hallo, ich habe mir via Pingcastle einen Bericht über eine Domäne ziehen lassen. Dort wird angemerkt, dass sich gewisse Benutzergruppen am Domänen-Controller anmelden dürfen. Zitat Anmelden als Dienst (u.a. div. MSSQLUser2005) Anmelden als Stapelverarbeitungsauftrag (u.a. div. MSSQLUser2005) Anmelden über Remotedesktopdienste zulassen (Administratoren, Remotedesktopbenutzer) Generieren von Sicherheitsüberwachungen (u.a. div. MSSQLUser2005) Ersetzen eines Tokens auf Prozessebene (u.a. div. MSSQLUser2005) Lokal anmelden zulassen (Benutzer, Sicherungs-Operatoren, Administratoren) Hat jemand von euch ein Screenshot der Standardeinstellungen dieser Richtlinien? Ich glaube nicht, dass es von Microsoft so vorgesehen war, dass sich Benutzer lokal anmelden dürfen.
NilsK 3.045 Geschrieben 4. März 2020 Melden Geschrieben 4. März 2020 (bearbeitet) Moin, das ist ziemlich typisch für Umgebungen, wo der Admin die Bedeutung der Gruppen missverstanden hat. Es gibt tausende Umgebungen, in denen User sich per RDP an den DCs anmelden dürfen, aber nicht an den Terminalservern. Wenn du also schon dabei bist - werte auch noch mal die Gruppen unter "Builtin" aus. [AD-Standardgruppen auswerten | faq-o-matic.net]https://www.faq-o-matic.net/2014/09/01/ad-standardgruppen-auswerten/ [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Hier sind die Standardeinstellungen aus der Default Domain Controllers Policy: Hm, das sollte eigentlich eine Tabelle sein. Naja, lass ich jetzt so. Hier noch ein Screenshot der lokalen Default-Einstellung, da die DDCP gar nicht alles enthält: Gruß, Nils bearbeitet 4. März 2020 von NilsK Ergänzung - man gestatte mir hier die Screenshots. 1
v-rtc 92 Geschrieben 4. März 2020 Melden Geschrieben 4. März 2020 (bearbeitet) Tausend Dank, hatte ich gerade auch gesucht bearbeitet 4. März 2020 von v-rtc Shorter
roccomarcy 20 Geschrieben 5. März 2020 Autor Melden Geschrieben 5. März 2020 Moin, vielen Dank. :) Die SIDs in dem folgenden Screenshot gehören doch sicherlich Konten an, die nicht mehr existieren und können gelöscht werden, oder?
NilsK 3.045 Geschrieben 5. März 2020 Melden Geschrieben 5. März 2020 Moin, vermutlich schon. Da die SIDs aus unterschiedlichen Domänen stammen, wäre aber auch eine temporäre Verbindungsstörung zu diesen Domänen denkbar, daher kann man das von hier aus nicht genauer sagen. Ihr solltet das auch mal zum Anlass nehmen, eure IT-Security und eure Prozesse kritisch zu betrachten. Ich wüsste etwa gerade nicht, warum auf einem DC Dienste mit Anmeldekonten aus sieben verschiedenen Domänen laufen sollten. Gruß, Nils
daabm 1.428 Geschrieben 5. März 2020 Melden Geschrieben 5. März 2020 Stop! S-1-5-80 und S-1-5-82 sind keine normalen User-Accounts... Das sind Dienste-SIDs, die sich aus dem Dienstnamen ableiten (sc getsid)... Und die können hier nicht wirklich aufgelöst werden, das geht nur auf Rechnern, auf denen es die entsprechenden Dienste gibt.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden