[XP] Buitengesloten na domain aanpassing*

Als die blanco administrator inloggen op de Local Machine ipv het domein.
Is het een laptop van je werk? Dan niet zelf mee klooien en door de systeembeheerder hem weer in het domein laten hangen.

Ik heb al met ultimatebootcd een blanko administrator wachtwoord ingesteld maar dat hielp ook niet. Ik zoek dus een truck om de domein instellingen aan te passen buiten xp om.

Om buiten XP aan je domeininstellingen te kunnen, vergeet het maar...

Misschien kan je eens proberen in te loggen met als gebruikersnaam "COMPUTERNAAM\LokaleGebruikersnaam" en je lokale gebruikerswachtwoord? (dus bv op computer "Soren" en gebruiker "MP" zet je bij gebruikersnaam SOREN\MP) (en dat is dan ook al wat je in je inlogvenster moet doen, dus niet klooien met het tekstvak "Domein" ofzo)

Heb je al eens opgestart in Veilige Modus met Netwerkmogelijkheden trouwens?

Verwijderd schreef op dinsdag 29 juli 2008 @ 00:16:
[...]

Nee, dat werkt helaas niet. Ik denk dat hij er intern dan "foutdomein\computernaam\gebruiker" van maakt.. zowel met normale user account als met admin account werkte dit niet.

Ik heb een eenvoudige registry op UBCD staan, dus ik kan alles aanpatsen wat ik wil. Ik weet alleen niet wat ik aan moet patsen om al dat domain gedoe er uit te mikken. Inloggen op de locale machine is voldoende. Daarna fix ik ooit de domein instelling wel weer als ik hem weer in het domein ga hangen.

Patsen wat is dat nou weer voor een taal??

Anyway. Als je in safe modus al niet kan booten. dan een Bartpe CD maken. kopieer al je data naar een andere Machine en de laptop opnieuw inrichten.

Verwijderd schreef op dinsdag 29 juli 2008 @ 00:16:
[...]

Nee, dat werkt helaas niet. Ik denk dat hij er intern dan "foutdomein\computernaam\gebruiker" van maakt.. zowel met normale user account als met admin account werkte dit niet.

Nee, dit doet hij niet. Door de computernaam voor je gebruikersnaam te zetten, bekom je nl. hetzelfde als wanneer je een domein/computer kiest uit de dropdownlist in je inlogscherm.

Even een wild guess, inloggen als 127.0.0.1\gebruikersaccount of localhost\gebruikersnaam gaat toevallig ook niet?

Windows 2000 cd'tje erin, recovery console? Geen Admin-wachtwoord nodig dan. (moet Win 2K zijn)

local admin account is vast gedisabled. Volgens mij kan je die enablen met de bootflop/cd van P. Nordahl. (http://home.eunet.no/pnordahl/ntpasswd/)
Als je een systeem uit het domein haalt, zodat ie weer in een workgroup zit, dan heb je nooit een domein vakje. Proberen een domein aan te geven met domein\user is dan ook zinloos, want je bent er niet lid van. Een systeem wat niet lid is van een domein kan alleen accounts gebruiken uit de lokale user database (SAM).
Veelal wordt er middels policies op een domein afgedwongen dat de local admin gedisabled wordt, of gerenamed etc. Dit om ongeautoriseerd aanloggen met een admin account te voorkomen, nadat het password is gereset. Maar omdat je je laptop uit het domein hebt gehaald, krijg je ook geen nieuwe policies meer afgedwongen.

Daarom zowieso: Voordat je met domein settings gaat klooien, altijd even checken of je ook als lokaal administrator kan aanloggen.

Edit: Cached credentials zijn weg als je hem uit het domein weghaalt. En dan nog, uit het domein gehaald, dan ook geen rechten om erop aan te loggen.

Als je eenmaal een melding hebt gehad over het domein, dat je moet rebooten etc. dan is de setting al in registry weggeschreven. Anders had je wel een domain login gezien.

Recovery kan alleen met een goede backup. Met een beetje hacken kom je nooit meer terug in je domein. (En het is maar goed dat dat niet zo makkelijk is, maar dat is een ander verhaal )

Als het wachtwoord van de localadmin werkelijk het probleem is, kan je nog proberen om middels rainbow tables, zoals gebruikt in het opensourceproject OPHCRACK proberen het password uit te lezen, maar daar heb ik zelf geen goede ervaringen mee.

[ Voor 29% gewijzigd door Mistraller op 29-07-2008 00:47 ]

Er is van de UBCD ook een Windows versie gebaseerd op WinPE, misschien dat het password reset tooltje die daar op staat wel werkt.

Verwijderd schreef op dinsdag 29 juli 2008 @ 17:09:
[...]


SUPER!

Zat een tool bij om nieuwe user accounts aan te maken! Hoewel ik dus mijn oude account kwijt ben, zit ik er dus wel weer in!
De oude account staat er ook nog op, dus als ik hem straks in het domein hang dan heb ik vermoedelijk alles weer zoals 't was.

Case closed!

Uhm....toch volg ik het niet helemaal. Als je hem in het domein hangt; welk useraccount log je dan mee aan??? Als je een domein account gebruikt, dan heb je toch geen drol aan je "oude" local account?
Of bedoel je nu alleen je profile folder?

Verwijderd schreef op dinsdag 29 juli 2008 @ 23:21:
[...]

Ik heb gewoon een lokaal account aangemaakt, ik mis nu dus mijn bookmarks maar die kan ik ook zo copieren vanuit mijn domain account. Ik kan nu gewoon bij alle bestanden en alles programma's en instellingen.

Als ik volgende week weer op locatie ben hang ik hem aan het domein en cached hij mijn domein inlog zooi wel weer en dan is alles weer 100% zoals het was.

Moraal van dit verhaal: blijf van je domein instellingen af!

Wat we ook geleerd hebben: Fysieke toegang tot een PC maakt het mogelijk om met simpele tools gewoon nieuwe administrator accounts aan te maken.

case closed

Als eens van safeguard gehoord...

Beetje admin weet zijn tooltjes te kiezen hoor. Hier bij ons geen gehack En volgens mij kan je de lokale SAM ook nog verder dichttimmeren dan standaard het geval is.

Verwijderd schreef op dinsdag 29 juli 2008 @ 23:21:

Wat we ook geleerd hebben: Fysieke toegang tot een PC maakt het mogelijk om met simpele tools gewoon nieuwe administrator accounts aan te maken.

case closed

Als ik fysiek toegang heb tot een PC, is het jouw PC al niet meer.
Dan heb je al verloren

Verwijderd schreef op woensdag 30 juli 2008 @ 12:12:
[...]

Ja. de admins hebben inderdaad de taak het leven van anderen zo moeilijk mogelijk te maken..... volgens mij is IT nog altijd ondersteunend aan bedrijfsprocessen. Maar goed, laten we daar, indien nodig, een ander topic voor openen.

....de admins hebben inderdaad de taak het leven van anderen zo moeilijk veilig mogelijk te maken.....

Wat jij kan, kan een ander ook beter. Kan je van die krantekoppen van krijgen... Peter R de Vries taferelen...of gewoon bedrijfsgeheimen die niet voor de concurrent bestemd zijn.

[ Voor 16% gewijzigd door Mistraller op 31-07-2008 10:17 ]

Verwijderd schreef op donderdag 31 juli 2008 @ 15:07:
[...]

Die verantwoordelijkheid ligt voor het grootste deel bij de gebruikers! Ik zie vaak dat admins systemen opbouwen die enorm blokkerend zijn voor het primaire bedrijfsproces en dat ze daardoor voor allerlei ondersteunende bijkomende diensten enorm druk zijn. Ze creeeren als het ware hun eigen werk. Ik heb ruime ervaring met een veel opener cultuur die gebruikers veel eigen verantwoordelijkheid geeft en daardoor op de eerste plaats het primaire bedrijfsproces volop ondersteuning biedt (zonder ooit te blokkeren bijvoorbeeld omdat iemand 3 weken moet wachten op installatie van een tooltje of zo). en op de 2e plaats met veel minder admins uit de voeten kunnen. Een goede admin realiseerd zich dat hij puur een ondersteunende functie heeft die alleen maar geld kost.

my 2 ct's.

Dichttimmeren om het dichttimmeren is ook niet goed, maar hier stel je toch wel het andere uiterste. Security management is toch echt het bepalen van wat acceptabel is en wat niet (is het acceptabel dat een document op straat komt te liggen als een laptop wordt gestolen? wat is de impact? etc etc).
Dit kan door een atechnisch persoon beschreven worden (managers/directie moeten dit wat mij betreft bepalen) Vervolgens mogen de admins aan de slag om dit om te zetten in technische eisen en dat kan inhouden dat het werk lastiger wordt, maar wel minder gevoelig om belangrijke informatie kwijt te raken.

Het moet gewoon een weloverwogen beslissing zijn wat wel en niet acceptabel is en beschreven zijn wat daar dan de consequenties van zijn (zowel gevolgen voor de werkbaarheid als gevolgen voor de beveiliging). En dit is m.i. niet de verantwoordelijkheid van de gebruikers of de IT, maar van het management. Zij bepalen het beleid...

edit:
BTW dat de verantwoordelijk bij de gebruikers ligt is wat je als bedrijf niet wilt overigens. 80% van de security incidenten zijn door gebruikers gekomen. Mensen die toegang tot informatie hadden en deze simpelweg door verkochten. Daar werkt niets technisch tegen

[ Voor 10% gewijzigd door Verwijderd op 31-07-2008 16:33 ]

Verwijderd schreef op woensdag 30 juli 2008 @ 22:08:
[...]
Was jij vorig jaar maart toevallig bij het Gelredome?

Nee. Hoezo?

Verwijderd schreef op donderdag 31 juli 2008 @ 15:07:
[...]
Die verantwoordelijkheid ligt voor het grootste deel bij de gebruikers!

Het merendeel van de doorsnee gebruiker wil daar niet aan, die hebben wel wat anders aan hun hoofd...

Ik zie vaak dat admins systemen opbouwen die enorm blokkerend zijn voor het primaire bedrijfsproces en dat ze daardoor voor allerlei ondersteunende bijkomende diensten enorm druk zijn. Ze creeeren als het ware hun eigen werk.

Maar dat doen ze echt niet op eigen houtje hoor..

Ik heb ruime ervaring met een veel opener cultuur die gebruikers veel eigen verantwoordelijkheid geeft en daardoor op de eerste plaats het primaire bedrijfsproces volop ondersteuning biedt (zonder ooit te blokkeren bijvoorbeeld omdat iemand 3 weken moet wachten op installatie van een tooltje of zo). en op de 2e plaats met veel minder admins uit de voeten kunnen.

Leuk, maar niet van toepassing in elke bedrijfstak hoor
Ik heb bijvoorbeeld ruime ervaring in een financiele instelling waar je met externe regelgeving te maken hebt die een groot deel van die vrijheid/blijheid aan procedureel vastgelegde banden legt.
Of je het nou leuk of nuttig vind of niet.

Een goede admin realiseerd zich dat hij puur een ondersteunende functie heeft die alleen maar geld kost.
my 2 ct's.

Eurocent?
Zimbabwaanse dollarcents?

Een goede admin realiseerd zich dat hij puur een ondersteunende functie heeft die alleen maar geld kost.

wel grappig overigens dat de computers en de mensen die zorgen dat ze blijven werken, nu opeens een extra kostenpost worden die alleen maar geld kost. Terwijl er 10 tot 100x meer bespaard wordt op arbeidsloon van mensen die je nodig zo hebben als het bedrijf nog zo draaien zonder computers. Grappig hoe snel daaraan voorbijgegaan wordt