[Win2k3 Server | GPO] Default username instellen voor Run As - Serversoftware en clouddiensten

woensdag 13 februari 2008 16:26

Acties:

Topicstarter

Heb Google en GoT Search al gebruikt maar kom geen topics tegen hierover.
Ik beheer een middelgroot netwerk van zo'n 50 werkstations, domein gebruikers hebben restricted rights, soms komt het wel eens voor dat ik op een werkstation een handmatige actie uitvoer en daarvoor Admin rechten nodig heb. Ik gebruik dan de Run As optie (om bijv. als Admin een programma te installeren op 1 werkstation).

Echter iedere keer dat ik dat doe staat het account waarmee ik wil inloggen (de domein Admin) niet tussen het lijstje, en blijft ook niet bewaard. Ik zou graag willen dat ik bijv. via GPO of een registry script een regel kan applyen die de Run As username standaard zet op bijv. DOMAIN\Administrator.
Nu moet ik dit namelijk iedere keer weer handmatig intikken...

Iemand enig idee hoe dat te doen? $_/-\o_$

woensdag 13 februari 2008 16:31

Acties:

Roman

Aaaaaaaaahhhhhhhh

Ik zelf maak geen gebruik van het built-in account administrator maar heb een apart account met een kortere naam die lid is van domain admins. Hierdoor ben ik sneller met intoetsen.

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 16:34

Acties:

Urk

Topicstarter

Roman schreef op woensdag 13 februari 2008 @ 16:31:
Ik zelf maak geen gebruik van het built-in account administrator maar heb een apart account met een kortere naam die lid is van domain admins. Hierdoor ben ik sneller met intoetsen.

Daar heb je gelijk in en dat is wel een goeie, echter blijft het dan dat je het moet intypen iedere keer, ik wil graag dat hij standaard al op die optie staat zodat ik alleen het wachtwoord hoef in te voeren.

We zijn niet voor niets luie systeembeheerders

woensdag 13 februari 2008 16:36

Acties:

alt-92

ye olde farte

Je snapt hopelijk wel dat dat ook weer een risico is?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 13 februari 2008 16:41

Acties:

Roman

Aaaaaaaaahhhhhhhh

Ach ja. Beetje risico moet wel zijn anders is het niet leuk

Het staat iig niet in het register. Dat heb ik net helemaal doorgezocht enniet kunnen vinden.

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 16:41

Acties:

Urk

Topicstarter

alt-92 schreef op woensdag 13 februari 2008 @ 16:36:
Je snapt hopelijk wel dat dat ook weer een risico is?

Nee, waarom? Iedereen weet toch dat de standaard admin login Administrator is? Of doel je op een ander risico, want ik zie hem namelijk niet...

Roman schreef op woensdag 13 februari 2008 @ 16:41:
Ach ja. Beetje risico moet wel zijn anders is het niet leuk

Haha, precies, je word zo langzamerhand helemaal gek van al dat gezeik over Security en wat er al dan niet een risico kan zijn... soms is het allemaal way over top.

Hmmm.. als het niet in het registry staat kan het lastig worden vrees ik...

[ Voor 40% gewijzigd door Urk op 13-02-2008 16:43 ]

woensdag 13 februari 2008 16:46

Acties:

Roman

Aaaaaaaaahhhhhhhh

Misschien heb je hier iets aan.

NOW INTERACTIVE! Joystick controls Fry's left ear.

woensdag 13 februari 2008 17:33

Acties:

Urk

Topicstarter

Roman schreef op woensdag 13 februari 2008 @ 16:46:
Misschien heb je hier iets aan.

Thanks, alleen gaat dat toch grotendeels in over al inloggen in je systeem direct als Admin en een klein deel over Run as. Maar goed, je hebt je punt gemaakt maar wil toch graag weten of ik de default username kan aanpassen in het Run As boxje...

woensdag 13 februari 2008 19:55

Acties:

sanfranjake

Computers can do that?

Enige wat ik voor je weet:
De admin-users expliciet op elke pc lid maken van "Administrators". Dit kan met een gpo. Dan staan ze wel in de lijst, dus dan is het enkel even pijltje-beneden en je bent er.

Of een commandline maken, en die ergens in het startmenu verstoppen (of aan een sneltoets hangen). runas /user:DOMEIN\USERNAME cmd d:\, en dan vanuit die cmd de rest openen?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 13 februari 2008 23:10

Acties:

Urk

Topicstarter

sanfranjake schreef op woensdag 13 februari 2008 @ 19:55:
Enige wat ik voor je weet:
De admin-users expliciet op elke pc lid maken van "Administrators". Dit kan met een gpo. Dan staan ze wel in de lijst, dus dan is het enkel even pijltje-beneden en je bent er.

OK, thanks. Maar de lokale admin is toch al lid van de lokale Administrators groep? Of bedoel je de Domein Admin lid te maken van de lokale Administrators groep?
Weet je toevallig ook met welke GPO dat kan? $_/-\o_$

woensdag 13 februari 2008 23:14

Acties:

SlinkingAnt

Even googlen op GPO, restricted groups en local admin. Kun je denk ik wel voldoende vinden, anders slinger ik morgen wel een screenshot deze kant op

donderdag 14 februari 2008 00:13

Acties:

sanfranjake

Computers can do that?

Urk schreef op woensdag 13 februari 2008 @ 23:10:
[...]

OK, thanks. Maar de lokale admin is toch al lid van de lokale Administrators groep? Of bedoel je de Domein Admin lid te maken van de lokale Administrators groep?
Weet je toevallig ook met welke GPO dat kan? $_/-\o_$

Ik bedoel de admins die dit moeten kunnen daar user na user toe te voegen, dan zouden ze in de lijst moeten verschijnen, boven me staat waar je het kan vinden in je policy. Zorg dat je die op de Machine OU toepast. En ga je wat inlezen over group policy, want volgens mij kan je daarmee vast nog wel meer dingen "perfectioneren" op je netwerk

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 15 februari 2008 13:49

Acties:

Urk

Topicstarter

sanfranjake schreef op donderdag 14 februari 2008 @ 00:13:
[...]
Zorg dat je die op de Machine OU toepast.

Misschien stom maar de afkorting OU klinkt me zo snel even niet bekend in de oren...

sanfranjake schreef op donderdag 14 februari 2008 @ 00:13:
[...]
En ga je wat inlezen over group policy, want volgens mij kan je daarmee vast nog wel meer dingen "perfectioneren" op je netwerk

En waar baseer je dat op?

vrijdag 15 februari 2008 14:02

Acties:

alt-92

ye olde farte

Misschien op je eigen toegeven dat OU je niks zegt?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 15 februari 2008 14:27

Acties:

Roman

Aaaaaaaaahhhhhhhh

Heb nog verder gezocht, maar kno ze ook in een zooi ini bestanden niet vinden. Dus waar windows de instelling vandaan haald....

Of toch via de local admin regelen....

En eeeehhh OU LOL

NOW INTERACTIVE! Joystick controls Fry's left ear.

vrijdag 15 februari 2008 14:35

Acties:

alt-92

ye olde farte

Urk schreef op woensdag 13 februari 2008 @ 16:41:
[...]
Nee, waarom? Iedereen weet toch dat de standaard admin login Administrator is?

Mooi.
Ga maar op een default Vista install kijken.
Administrator (de user met SID eindigend op 500) staat disabled.

Ook elders (XP via RIS) is het niet ongebruikelijk dat de (local) administrator account disabled wordt, en runas zelf is een interactief proces zonder default user.
(klein beetje het hele punt, run as <andere usert>, en dat kan van alles zijn).

Daarnaast: het enige wat jij nog kan zien is dat er een login is geweest van Administrator - wie van de dertig man in je toko met die login alle bedrijfskritische gegevens op een USB stick het pand uit heeft genomen om voor zichzelf te beginnen kun je dan niet zien.

Maar het is jouw feestje

Ik zou dan een scriptje maken wat je een keuze biedt om met normale of Admin credentials iets te doen:

Visual Basic:

dim wscript
    Set oShell = CreateObject("WScript.Shell")
    Set oWshProcessEnv = oShell.Environment("process")

    Title = "Username is: " & oWshProcessEnv("USERNAME")
    Username1 = oWshProcessEnv("USERNAME")
    Logon1="ADM" & oWshProcessEnv("USERNAME")

    Message = "Please enter LogonId:" & chr(13) & "1) " & Logon1 & chr(13) & "2) " & Username1 & chr(13)
    Message2 = "Please enter Application: " & chr(13) & "1) regedit" & chr(13) &"2) cmd"& chr(13) &"3) explorer on C:\temp" & chr(13) &_
 "4) mmc AD users & computers" & chr(13) & "5) mmc DFS Management" & chr(13) & "6) NetIQ WEBCONSOLE" &_
 chr(13) & "7) NetIQ Client" & chr(13) & "8) TakenPlanner"


str1 = inputbox (Message,Title)

    set wscript = createobject("wscript.shell")



    str2 = inputbox (Message2,Title) 
    
    set wscript = createobject("wscript.shell")
    if str2 <> "" then
        if str2 = 1 then
            runstring = chr(34)&"regedit"&chr(34)
        end if
        if str2 = 2 then
            runstring = chr(34)&"cmd"&chr(34)
        end if
        if str2 = 3 then
            runstring = chr(34)&"C:\Program Files\Internet Explorer\IEXPLORE.EXE file://c:/temp"&chr(34)
        end if
        if str2 = 4 then
            runstring = chr(34)&"mmc.exe %windir%\system32\dsa.msc /server=dc01.domain.tld" & Chr(34)
        end if
        if str2 = 5 then
            runstring = chr(34)&"mmc.exe %windir%\system32\dfsgui.msc" & Chr(34)
        end if
        if str2 = 6 then
            runstring = chr(34)&"C:\Program Files\Internet Explorer\IEXPLORE.EXE http://spnlapp00137/dra/default.asp"
        end if
        if str2 = 7 then
            runstring = chr(34)&"C:\Program Files\NetIQ\DRA\UserConsole.exe"
        end if
        if str2 = 8 then
            runstring = chr(34) & "C:\Program Files\Internet Explorer\IEXPLORE.EXE about:blank" &chr(34)
        end if
    End if
    if str1 <> "" then
        if str1 = 1 then
            Logon = Logon1
            call wscript.run("runas /user:domain\" & Logon & " " & runstring, 1,true)
        end if
    if str1 = 2 then
        Logon = Username1
        call wscript.run(runstring, 1,true)
    end if
 End if

[ Voor 54% gewijzigd door alt-92 op 15-02-2008 14:44 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 15 februari 2008 17:11

Acties:

Urk

Topicstarter

alt-92 schreef op vrijdag 15 februari 2008 @ 14:02:
Misschien op je eigen toegeven dat OU je niks zegt?

Ik weet hem al denk ik, ik gok dat je Organizational Units bedoelde...

vrijdag 15 februari 2008 17:17

Acties:

Urk

Topicstarter

alt-92 schreef op vrijdag 15 februari 2008 @ 14:35:
[...]
Daarnaast: het enige wat jij nog kan zien is dat er een login is geweest van Administrator - wie van de dertig man in je toko met die login alle bedrijfskritische gegevens op een USB stick het pand uit heeft genomen om voor zichzelf te beginnen kun je dan niet zien.

Thanks, leuk scriptje! $_/-\o_$
Alleen ik zou hem iets moeten modificeren omdat er vaak niet een standaard applicatie wordt gedraaid als Admin. Maar goed....

Waar baseer je bovenstaand op? Je gaat er dus vanuit dat iedereen Admin wachtwoorden weet als ik dat zo lees. De enige die het Admin wachtwoord weet ben ik....

Pagina: 1

Reageer