mega W2003 AD Sicherheits BUG ??

[ji007 10]

Hallo,

 

ich habe einen Benutzer welcher als Administrator angemeldet ist, obwohl er in keiner Administratorengruppe Mitglied ist. Wie soll das gehen? Kann mir jemand sagen wie man die tatsächlichen Rechte eines Benutzers feststellt? (ausser mit der AD-Benutzer und Gruppenverwaltung)

 

Betrifft:

Windows 2003 Domain

[il_principe 11]

hi,

 

ist dein User vielleicht lokaler Administrator auf der Maschine an der er angemeldet ist?

 

Verwaltung - lokale Benutzer und Gruppen - Gruppen.

 

Wer ist bei den Administratoren Mitglied?

Es gelten natürlich auch Gruppen wie Domänen-benutzer usw....

 

lg

il_principe

[grizzly999 11]

Hallo und willkommen im Board :)

 

Nun, deine Überschrift ist für meinen Geschmack etwas geschwollen, von wegen Mega-wahnsinns-ober-bug. 98% der fehler sítzen ja bekanntlich vor dem Bildschirm und ich kann dir versichern, es ist bei 2003 niemand Administrator, der nicht irgendiwe zu der Gruppe getan wurde oder die Credentials bekommen hat (z.B. über ein Laufwerksmapping oder anderen RPC-Call).

 

Ein gprseult bringt auch auf die Schnelle, in welchen Gruppen ein benutzer ist, ebenso ein whoami /all.

 

Fang mal damit an ......

 

 

grizzly999

[ji007 10]

tja, wenn's so einfach währe,

 

nein und nein, der Benutzer ist nur als Domändenbenutzer vorhanden und nicht lokal angelegt,

 

gpresult liefert

 

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Domänen-Benutzer

Jeder

Benutzer

Web Workplace Users

LOKAL

INTERAKTIV

Authentifizierte Benutzer

FEHLER: Zugriff verweigert.

 

gp

[grizzly999 11]

Ok, wie kommst du dann drauf, dass der/die Benutzer Administratoren sind?

[zahni 587]

Was ist das denn für eine Gruppe "FEHLER: Zugriff verweigert." ?

 

Bist Du selber noch Admin ?

 

-Zahni

[ji007 10]

alle Zugriffe auf Server Freigaben von diesen PC aus laufen als ADMINISTRATOR ab (net session)

[ji007 10]

"FEHLER: Zugriff verweigert."

 

da habe ich selber keine Ahnung?

 

Lokal hat der Bentuzer KEINE Administrator Rechte.

[ji007 10]

auch keine Ahnung ?

[boardadmin 0]

Wir sind ein Forum und kein Chat, bitte übe Dich in Geduld.

[Gadget 37]

Hi ji007,

 

Kann mir jemand sagen wie man die tatsächlichen Rechte eines Benutzers feststellt?

 

die Benutzerrechte werden durch den entsprechenden Access Tokens festgelegt:

 

access token

An access token contains the security information for a logon session. The system creates an access token when a user logs on, and every process executed on behalf of the user has a copy of the token. The token identifies the user, the user's groups, and the user's privileges. The system uses the token to control access to securable objects and to control the ability of the user to perform various system-related operations on the local computer. There are two kinds of access token, primary and impersonation.

 

Mehr dazu:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/access_tokens.asp

 

Wie kann ich jetzt die Rechte u. Gruppenmitgliedschaften meines Tokens abrufen?

Geht auch recht einfach gibts zwei Tools dafür =>

 

Mytoken.exe (Kommt eigentlich aus dem Windows SDK als unkompilierte Version daher)

hab hier aber ne kompilierte Version gefunden (bei Download the code klicken):

http://emea.windowsitpro.com/Article/ArticleID/23386/23386.html?Ad=1

 

oder mit whoami:

http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/whoami-o.asp

 

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/fc7edb8c-0e13-4d95-bb29-ad7464dac707.mspx

 

LG Gadget

[ji007 10]

Danke für die Hinweise. Ich kann aber leider nichts Falsches erkennen.

Ergebnis von mytoken

 

User : DOMAIN\user

Owner : DOMAIN\user

Primary Group : DOMAIN\Domõnen-Benutzer

LUID for this instance of token 2246849564

LUID for this logon session 2231088564

Token is type PRIMARY

Token source is <User32 ðoT?>

 

Retrieving Group information from current process token

SID 0 Group: DOMAIN\Domõnen-Benutzer

SID 1 Group: \Jeder

SID 2 Group: VORDEFINIERT\Benutzer

SID 3 Group: DOMAIN\Farbdrucker

SID 4 Group: DOMAIN\Bauamt

SID 5 Group: DOMAIN\Web Workplace Users

SID 6 Group: DOMAIN\NONE_MAPPED

SID 7 Group: \LOKAL

SID 8 Group: NT-AUTORIT-T\INTERAKTIV

SID 9 Group: NT-AUTORIT-T\Authentifizierte Benutzer

 

Privileges associated with this token (3)

SeChangeNotifyPrivilege - (attributes) 3

SeShutdownPrivilege - (attributes) 0

SeUndockPrivilege - (attributes) 2

[varnik 10]

Hallo,

 

ich habe einen Benutzer welcher als Administrator angemeldet ist, obwohl er in keiner Administratorengruppe Mitglied ist. Wie soll das gehen? Kann mir jemand sagen wie man die tatsächlichen Rechte eines Benutzers feststellt? (ausser mit der AD-Benutzer und Gruppenverwaltung)

 

Betrifft:

Windows 2003 Domain

Hi,

 

wenn der Benutzer Administrator heisst, sollte es bedeuten, dass jemand der Domain-Admins so ein Benutzer-Konto angelegt hat. Früher war vermutlich der richtige Administrator umbenannt.

[ji007 10]

Hi,

 

leider habe ich noch immer keine Lösung für das Problem. Gibt es denn niemand der helfen kann?

 

Es wurde ein neuer Server installier, alle Bentuzer neu angelegt - und keiner der Benutzer wurde in die Gruppe DomainAdmin oä. hinzugefügt. Nicht neu installiert wurde der PC. Kann es sein dass ein Windows Root-Kit oder etwas ähnliches das Verhalten verursacht?

 

Trend Micro Virenscanner ist jedenfalls drauf und mit McAfee kann ich auch nichts entdecken.

 

gp