[2003] Logon met disabled localadmin account* - Serversoftware en clouddiensten

dinsdag 4 september 2007 14:57

Acties:

Topicstarter

Hoe kan hetvolgende:

We hebben een proces draaien op een w2003 server dat zichzelf indien nodig meer rechten toe eigend door het local admin account te gebruiken. Dit is correct en gewenst gedrag.

Nu blijkt dat door een security policy van een bedrijf alle localadmin accounts dienen te worden disabled. Het proces stopt met werken. Dit is wederom correct gedrag.

Bij een ander bedrijf hebben ze hetzelfde gedaan echter zie ik wel events met succesfull logons met het disabled account. Hoe kan dit?

dinsdag 4 september 2007 14:58

Acties:

PcDealer

HP ftw \o/

Is er een domein omgeving? M.a.w.: is er een policy actief die andere policies overruled?

[ Voor 54% gewijzigd door PcDealer op 04-09-2007 14:59 ]

LinkedIn WoT Cash Converter

dinsdag 4 september 2007 19:27

Acties:

Zwelgje

gebruikt dat account niet heel sneaky een domain account met dezelfde naam

account disabled> no go dat het gaat werken.

A wise man's life is based around fuck you

dinsdag 4 september 2007 20:01

Acties:

raba

Topicstarter

laatste is goed mogelijk. Ik heb krijg helaas geen inzicht in de policy's van het domain aangezien dit door anderen in beheer is.

dinsdag 4 september 2007 20:03

Acties:

Zwelgje

kun je toch uitlezen

windows xp machine met gpmc erop en je draait netjes een overzicht uit

A wise man's life is based around fuck you

dinsdag 4 september 2007 23:34

Acties:

sanfranjake

Computers can do that?

Tenzij hij daar ook geen rechten toe heeft, mmc is natuurlijk zo geblokkeerd

Maar in dat geval kan topicstarter deze kwestie ook beter aan die beheerders voorleggen, zij weten immers precies hoe de AD er daar uit ziet.
Goeie trouwens is ook GPBPA van MS: http://www.microsoft.com/...75a84f3742&DisplayLang=en

Ik zet nog even het OS in de titel, zie daarover Windows Servers en Server-Software - Policy. Verder is toch wel veel meer info nodig zoals je hierboven ziet. Die AD beheerders moeten meer kunnen verstrekken lijkt me

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 5 september 2007 10:38

Acties:

raba

Topicstarter

vind ik ook. Doel van deze topic was of er een mogelijkheid is dat een disabled account een succesful logon event zou kunnen generen. Blijkt niet zo te zijn, dus klopt er ergens een verhaal niet.

Ik ga dit terug kaatsen in de volgende meeting en eisen naar meer info. Want hier kan ik niets mee

alvast bedankt voor de input

groeten

woensdag 5 september 2007 10:44

Acties:

elevator

Officieel moto fan :)

Volgens mij kan je interactief gewoon aanloggen met een disabled administrator account - op dat punt zou het dus wel een succesful logon audit kunnen genereren lijkt me?

[ Voor 4% gewijzigd door elevator op 05-09-2007 10:45 ]

woensdag 5 september 2007 17:47

Acties:

Zwelgje

elevator schreef op woensdag 05 september 2007 @ 10:44:
Volgens mij kan je interactief gewoon aanloggen met een disabled administrator account - op dat punt zou het dus wel een succesful logon audit kunnen genereren lijkt me?

met een local account of met een domain account

lijkt me dat je met een domain account welke gedisabled is niet meer (interactief) kan aanmelden op een werkstation

ben je niet in de war met het nog steeds kunnen inloggen als administrator (interactief) op de console van een domaincontroller als het account gelocked is

A wise man's life is based around fuck you

woensdag 5 september 2007 17:53

Acties:

leuk_he

1. Controleer de kabel!

Ligt er ook aan hoe het account gedisabled is. Je kunt het in een groep hangen die interactief inloggen verbied, maar wel inloggen als een service en weer niet remote toegang. de kreet "disabled" is dus buigbaar.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

woensdag 5 september 2007 18:06

Acties:

sanfranjake

Computers can do that?

leuk_he schreef op woensdag 05 september 2007 @ 17:53:
Ligt er ook aan hoe het account gedisabled is. Je kunt het in een groep hangen die interactief inloggen verbied, maar wel inloggen als een service en weer niet remote toegang. de kreet "disabled" is dus buigbaar.

Inderdaad, daarom erg belangrijk voor het verloop van dit topic dat de AD beheerder zich hier even meldt

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 5 september 2007 19:42

Acties:

raba

Topicstarter

even voor de duidelijkheid, het gaat om een proces op een w2k3 server.

De vinkjes die op het account staat zijn:
account disabled + account must change psw at next logon.

Met beide is daarom interactief logon niet mogelijk oa. aangezien een proces een psw-change niet kan afhandelen.

De screenshots die ik krijg tonen niet aan of het een locaal of domain account zijn aangezien ze deze info hebben gewist in het plaatje. Aangezien ze zeggen dat en het domainaccount en het local account gedisabled zijn heb ik ze verzocht meer info te leveren. Ik hoop dit dan ook te krijgen

wederom dank voor de reacties. Mij is duidelijk dat het verkrijgen van een success logon event niet mogelijk is met een disabled account.