[GPO] Restricted Groups, users ook domain admin?

Dan wordt die policy misschien ook op de domaincontrollers toegepast?

bvandepol schreef op maandag 31 maart 2008 @ 16:45:
[...]

Hoe zie of kan ik dit uitschakelen dan?

Nou, door op te letten waar je je GPO op van toepassing laat zijn?
En welke GPO misbruik je hier dan voor eigenlijk - toch niet je Default Domain (of Domain Controllers) Policy?

alt-92 schreef op maandag 31 maart 2008 @ 16:48:
[...]
Nou, door op te letten waar je je GPO op van toepassing laat zijn?
En welke GPO misbruik je hier dan voor eigenlijk - toch niet je Default Domain (of Domain Controllers) Policy?

Dat het niet handig is, moge duidelijk zijn, maar imho maakt het niet uit. Het zorgt er alleen voor dat je users ook local-admin op je servers zijn, niet dat je dat wilt, maar ze zijn dan geen domain admin .

SlinkingAnt schreef op maandag 31 maart 2008 @ 16:53:
[...]

Het zorgt er alleen voor dat je users ook local-admin op je servers zijn, niet dat je dat wilt, maar ze zijn dan geen domain admin .

Maar wat is een localadmin op een domaincontroller ook al weer in Server 2003, juistem ja

sanfranjake schreef op maandag 31 maart 2008 @ 16:54:
[...]

Maar wat is een localadmin op een domaincontroller ook al weer in Server 2003, juistem ja

Sterker nog, een local admin kan zelfs op een werkstation vrij eenvoudig domain admin rechten nemen (toe-eigenen).

[ Voor 6% gewijzigd door alt-92 op 31-03-2008 18:04 ]

alt-92 schreef op maandag 31 maart 2008 @ 18:04:
[...]

Sterker nog, een local admin kan zelfs op een werkstation vrij eenvoudig domain admin rechten nemen (toe-eigenen).

Heb je hier meer info over? Als ik een gebruiker heb die lokaal admin is kan hij zichzelf elevaten tot domain admin?

alt-92 schreef op maandag 31 maart 2008 @ 18:04:
[...]

Sterker nog, een local admin kan zelfs op een werkstation vrij eenvoudig domain admin rechten nemen (toe-eigenen).

Kan dat met Active Directory nog steeds? Met NT4 ken ik een paar trucjes....

Poweruser > Administrator was me wel bekend: A member of the Power Users group may be able to gain administrator rights and permissions in Windows Server 2003, Windows 2000, or Windows XP

sanfranjake schreef op maandag 31 maart 2008 @ 20:08:
[...]

Kan dat met Active Directory nog steeds?

Het is meer werk, maar het kan nog steeds.
Laat maar eens een pentester tekeer gaan

[edit]
Dat is dan eigenlijk niet eens je grootste risico.
Belangrijker is dat je hiermee de deur wijd open zet voor een self-induced Denial of Service aanval.
Immers: een local admin kan bij een default config de domain admins uit de local admins groep knikkeren - en dan heb je een oncontroleerbare doos in je domain zitten waar van alles op gedaan kan worden.

[ Voor 42% gewijzigd door alt-92 op 31-03-2008 20:37 ]

Hé! idd, je hebt gelijk, ik zie ook een aantal lemmings naar beneden dwarrelen!

Hoe kan dat?

bvandepol schreef op dinsdag 01 april 2008 @ 08:41:
Hmm. Hoe ga ik dat oplossen dan?

Delegeren.

Alle gebruikers op die bakken moeten kunnen formatteren en firmwares flashen voor hun werkzaamheden.
Formatteren mag je toch enkel en alleen als admin?

Een admin user mag dat. Dat is niet hetzelfde als 'je moet admin zijn om dat te mogen'.

Dan erbij. Ik vind het maar een raar verhaal dat je als local admin zo makkelijk (of eigenlijk al bent) domain admin kan worden.

Tja.

"OMFGWTFBBQ!!111 Als ik root ben mag ik alles!!1111 waaaah!!1111"

Overdreven gezegd dan he..

Maar denk het nou eens verder door?

Als je je user Local Admin maakt zeg je in feite: 'hier heb je de sleutels van je appartement' terwijl die sleutel fungeert als een loper om de centrale hal in te komen.

Je geeft iemand alle vrijheid om op die PC alles te doen wat ie maar wil.
Debuggen, sniffen, hashes aftappen, daarmee jouw Domain Admin credentials impersoneren, useraccounts in de AD aanmaken, rottigheid uithalen...

Ik kan het echt niet anders uitleggen als dat - je geeft users root rechten en vervolgens verbaas je je erover dat je een veiligheidsrisico loopt.

[ Voor 6% gewijzigd door alt-92 op 01-04-2008 19:22 ]

ok

Maar goed, nu even weer terug naar je oorspronkelijke vraag waar alles eigenlijk om te doen is.

Je hebt dus een beperkte groep mensen die je door middel van een aparte groep ook op deze policies rechten kan geven.
Dan hoéf je ze niet Local Admin te maken - je geeft ze alleen die privileges die ze echt nodig hebben.

Niet - niet met de standaard Security Policy Template.

Die setting enabled een registry key met hardcoded opties:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD.
0 = admins
1 = admins & power users
2 = admins & interactive users (iedereen dus).

Wat je natuurlijk wel weer kan doen is deze Policy in een GPO opnemen en die uitfilteren door middel van je security groep
(dwz: domain admins uiteraard de benodigde rechten - of je policy beheerclub - en je GROEP_FIRMWAREFLESSERS read & apply im plaats van Authenticated Users.)

[edit]
Ah, blegh. T'is een machine setting, dus dat werkt dan ook niet.

Ranzige oplossing: value op 2 zetten en rechten op de key gebruiken.

Dat kan dan weer via Computer Configuration\Windows Settings\Security Settings\Registry

[ Voor 32% gewijzigd door alt-92 op 02-04-2008 20:21 ]