/u/67020/avatar_ec.png?f=community){kind=avatar}
Hi!
Via mijn default DC policy wil ik op mijn DC (Functional level 2008R2, enige DC in domein) 3 zaken bewerkstellingen:
- Het inschakelen van het Administrator-account
- Het uitschakelen van het Gast-account
- Het hernoemen van het Administrator-account
Daar ik de eerste twee policies op mijn DC wil uitvoeren, dwing ik ze dus af op mijn domeinaccounts. Ik vermoed dat deze niet worden uitgevoerd omdat 1) Het Administrator-account beschermd is ([size=1]Sinds Win 2000 SP IV geloof ik[/size]).
2) Het domein geen gast-account kent.
Ik ontvang hier echter geen melding van. Wanneer ik een RSOP opvraag, zie ik dat beide policies niet defined zijn, en wanneer ik de local group policy editor open op de DC, kan ik beide instellingen wijzen. Ik vermoed dus dat de group policy een wijziging wil doorvoeren op domeinniveau (en daarmee de accounts niet kan bewerken), maar de lokale policy de wijzigingen ook lokaal wil doorvoeren. Dit verbaast mij licht, daar op een DC "lokaal" het domein is.
Evenwel heb ik een groter probleem. Het hernoemen van het Administrator-account gaat niet goed. Wanneer ik dit opgeef in de Default DC policy, en mijn DC RSOP krijg ik het volgende te zien:
Na een GPUpdate haal ik de volgende gegevens uit de winlogon.log:
- De in- en uitgeschakelde status van Administrator en Guest zie ik hier niet voorkomen.
- De naamswijziging van Administrator zie ik hier niet voorkomen.
Dat laatste kan kloppen, want er is geen eens een poging gedaan om de naam te wijzigen.
Op een site kwam ik tegen dat dit ermee te maken zou kunnen hebben dat de accountnaam al bestaat. Dit is echter niet het geval. Om hier zeker van te zijn heb ik meerdere namen geprobeerd.
Tevens las ik dat Power Users in de weg konden zitten, maar voor zover ik weet zijn die vervallen sinds Windows 2008.
Om e.e.a. uit te proberen heb ik vervolgens in de local policy de naam gewijzigd. Wanneer ik nu kijk bij "control userpasswords2" zie ik twee account: die van mij, en die van een gewijzigde administrator. In de AD is dit echter niet gebeurt, en heet het account nog steeds Administrator. Het lijkt er dus op dat de lokale administrator-account van naam is gewijzigd.
Ik kom daarmee dus bij mijn eindvraag: waarom wordt de policy niet toegepast, en moet moet ik mijn domein-administrator dan wél van naam laten veranderen?
PS: Ik kwam op Tomshardware een topic tegen waarbij een gebruiker in een Windows 2000 - NT 4.0-netwerk, zijn local administrators wilde wijzigen maar zijn domein-administrator (ongewenst) meegewijzigd werd. Dit is dus zeg maar wat ik wil bereiken, maar hij had dit als standaardgedrag. De toelichting die hierop werd gegeven, was dat wanneer je een policy toepast op een DC, de accountpolicies gelden voor de AD. Echter: in Windows NT 4.0, en eerdere versies van 2000 (RTM t/m SP3), was Administrator volgens mij nog niet beschermd, alleen Administrators.
Via mijn default DC policy wil ik op mijn DC (Functional level 2008R2, enige DC in domein) 3 zaken bewerkstellingen:
- Het inschakelen van het Administrator-account
- Het uitschakelen van het Gast-account
- Het hernoemen van het Administrator-account
Daar ik de eerste twee policies op mijn DC wil uitvoeren, dwing ik ze dus af op mijn domeinaccounts. Ik vermoed dat deze niet worden uitgevoerd omdat 1) Het Administrator-account beschermd is ([size=1]Sinds Win 2000 SP IV geloof ik[/size]).
2) Het domein geen gast-account kent.
Ik ontvang hier echter geen melding van. Wanneer ik een RSOP opvraag, zie ik dat beide policies niet defined zijn, en wanneer ik de local group policy editor open op de DC, kan ik beide instellingen wijzen. Ik vermoed dus dat de group policy een wijziging wil doorvoeren op domeinniveau (en daarmee de accounts niet kan bewerken), maar de lokale policy de wijzigingen ook lokaal wil doorvoeren. Dit verbaast mij licht, daar op een DC "lokaal" het domein is.
Evenwel heb ik een groter probleem. Het hernoemen van het Administrator-account gaat niet goed. Wanneer ik dit opgeef in de Default DC policy, en mijn DC RSOP krijg ik het volgende te zien:
Na een GPUpdate haal ik de volgende gegevens uit de winlogon.log:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
| ----Configure Security Policy...
Configure password information.
System Access configuration was completed successfully.
Configure machine\software\microsoft\windows\currentversion\policies\system\disablecad.
Configure machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername.
Configure machine\system\currentcontrolset\control\lsa\forceguest.
Configure machine\system\currentcontrolset\control\lsa\limitblankpassworduse.
Configure machine\system\currentcontrolset\services\lanmanserver\parameters\enablesecuritysignature.
Configure machine\system\currentcontrolset\services\lanmanserver\parameters\requiresecuritysignature.
Configure machine\system\currentcontrolset\services\netlogon\parameters\requiresignorseal.
Configure machine\system\currentcontrolset\services\ntds\parameters\ldapserverintegrity.
Configuration of Registry Values was completed successfully.
Audit/Log configuration was completed successfully.
Kerberos Policy configuration was completed successfully.
----Configure available attachment engines...
Configuration of attachment engines was completed successfully.
----Un-initialize configuration engine... |
- De in- en uitgeschakelde status van Administrator en Guest zie ik hier niet voorkomen.
- De naamswijziging van Administrator zie ik hier niet voorkomen.
Dat laatste kan kloppen, want er is geen eens een poging gedaan om de naam te wijzigen.
Op een site kwam ik tegen dat dit ermee te maken zou kunnen hebben dat de accountnaam al bestaat. Dit is echter niet het geval. Om hier zeker van te zijn heb ik meerdere namen geprobeerd.
Tevens las ik dat Power Users in de weg konden zitten, maar voor zover ik weet zijn die vervallen sinds Windows 2008.
Om e.e.a. uit te proberen heb ik vervolgens in de local policy de naam gewijzigd. Wanneer ik nu kijk bij "control userpasswords2" zie ik twee account: die van mij, en die van een gewijzigde administrator. In de AD is dit echter niet gebeurt, en heet het account nog steeds Administrator. Het lijkt er dus op dat de lokale administrator-account van naam is gewijzigd.
Ik kom daarmee dus bij mijn eindvraag: waarom wordt de policy niet toegepast, en moet moet ik mijn domein-administrator dan wél van naam laten veranderen?
PS: Ik kwam op Tomshardware een topic tegen waarbij een gebruiker in een Windows 2000 - NT 4.0-netwerk, zijn local administrators wilde wijzigen maar zijn domein-administrator (ongewenst) meegewijzigd werd. Dit is dus zeg maar wat ik wil bereiken, maar hij had dit als standaardgedrag. De toelichting die hierop werd gegeven, was dat wanneer je een policy toepast op een DC, de accountpolicies gelden voor de AD. Echter: in Windows NT 4.0, en eerdere versies van 2000 (RTM t/m SP3), was Administrator volgens mij nog niet beschermd, alleen Administrators.
~ Information security professional & enthousiast ~ EC Twitter ~
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
:strip_icc():strip_exif()/u/83667/DDZ_Maliebaan_70px.jpg?f=community)
.:strip_icc():strip_exif()/u/50542/alice.jpg?f=community)
/u/1503/crop601859cd0da3c_cropped.png?f=community)
)
