Jump to content

mega W2003 AD Sicherheits BUG ??

ji007

Von ji007
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Hallo und willkommen im Board :)

 

Nun, deine Überschrift ist für meinen Geschmack etwas geschwollen, von wegen Mega-wahnsinns-ober-bug. 98% der fehler sítzen ja bekanntlich vor dem Bildschirm und ich kann dir versichern, es ist bei 2003 niemand Administrator, der nicht irgendiwe zu der Gruppe getan wurde oder die Credentials bekommen hat (z.B. über ein Laufwerksmapping oder anderen RPC-Call).

 

Ein gprseult bringt auch auf die Schnelle, in welchen Gruppen ein benutzer ist, ebenso ein whoami /all.

 

Fang mal damit an ......

 

 

grizzly999

Link zu diesem Kommentar
ji007 Explorer

ji007   10

Geschrieben
  • Autor
Geschrieben

tja, wenn's so einfach währe,

 

nein und nein, der Benutzer ist nur als Domändenbenutzer vorhanden und nicht lokal angelegt,

 

gpresult liefert

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Domänen-Benutzer

Jeder

Benutzer

Web Workplace Users

LOKAL

INTERAKTIV

Authentifizierte Benutzer

FEHLER: Zugriff verweigert.

 

gp

Link zu diesem Kommentar
Gadget Grand Master

Gadget   37

Geschrieben
Geschrieben

Hi ji007,

 

Kann mir jemand sagen wie man die tatsächlichen Rechte eines Benutzers feststellt?

 

die Benutzerrechte werden durch den entsprechenden Access Tokens festgelegt:

 

access token

An access token contains the security information for a logon session. The system creates an access token when a user logs on, and every process executed on behalf of the user has a copy of the token. The token identifies the user, the user's groups, and the user's privileges. The system uses the token to control access to securable objects and to control the ability of the user to perform various system-related operations on the local computer. There are two kinds of access token, primary and impersonation.

 

Mehr dazu:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/access_tokens.asp

 

Wie kann ich jetzt die Rechte u. Gruppenmitgliedschaften meines Tokens abrufen?

Geht auch recht einfach gibts zwei Tools dafür =>

 

Mytoken.exe (Kommt eigentlich aus dem Windows SDK als unkompilierte Version daher)

hab hier aber ne kompilierte Version gefunden (bei Download the code klicken):

http://emea.windowsitpro.com/Article/ArticleID/23386/23386.html?Ad=1

 

oder mit whoami:

http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/whoami-o.asp

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/fc7edb8c-0e13-4d95-bb29-ad7464dac707.mspx

 

LG Gadget

Link zu diesem Kommentar
ji007 Explorer

ji007   10

Geschrieben
  • Autor
Geschrieben

Danke für die Hinweise. Ich kann aber leider nichts Falsches erkennen.

Ergebnis von mytoken

 

User : DOMAIN\user

Owner : DOMAIN\user

Primary Group : DOMAIN\Domõnen-Benutzer

LUID for this instance of token 2246849564

LUID for this logon session 2231088564

Token is type PRIMARY

Token source is <User32 ðoT?>

 

Retrieving Group information from current process token

SID 0 Group: DOMAIN\Domõnen-Benutzer

SID 1 Group: \Jeder

SID 2 Group: VORDEFINIERT\Benutzer

SID 3 Group: DOMAIN\Farbdrucker

SID 4 Group: DOMAIN\Bauamt

SID 5 Group: DOMAIN\Web Workplace Users

SID 6 Group: DOMAIN\NONE_MAPPED

SID 7 Group: \LOKAL

SID 8 Group: NT-AUTORIT-T\INTERAKTIV

SID 9 Group: NT-AUTORIT-T\Authentifizierte Benutzer

 

Privileges associated with this token (3)

SeChangeNotifyPrivilege - (attributes) 3

SeShutdownPrivilege - (attributes) 0

SeUndockPrivilege - (attributes) 2

Link zu diesem Kommentar
varnik Mentor

varnik   10

Geschrieben
Geschrieben
Hallo,

 

ich habe einen Benutzer welcher als Administrator angemeldet ist, obwohl er in keiner Administratorengruppe Mitglied ist. Wie soll das gehen? Kann mir jemand sagen wie man die tatsächlichen Rechte eines Benutzers feststellt? (ausser mit der AD-Benutzer und Gruppenverwaltung)

 

Betrifft:

Windows 2003 Domain

Hi,

 

wenn der Benutzer Administrator heisst, sollte es bedeuten, dass jemand der Domain-Admins so ein Benutzer-Konto angelegt hat. Früher war vermutlich der richtige Administrator umbenannt.

Link zu diesem Kommentar
  • 1 Monat später...
ji007 Explorer

ji007   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

leider habe ich noch immer keine Lösung für das Problem. Gibt es denn niemand der helfen kann?

 

Es wurde ein neuer Server installier, alle Bentuzer neu angelegt - und keiner der Benutzer wurde in die Gruppe DomainAdmin oä. hinzugefügt. Nicht neu installiert wurde der PC. Kann es sein dass ein Windows Root-Kit oder etwas ähnliches das Verhalten verursacht?

 

Trend Micro Virenscanner ist jedenfalls drauf und mit McAfee kann ich auch nichts entdecken.

 

gp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...