Toon posts:

[2003] Rechten 'Server Operators' achterhalen gpresult/rsop

Pagina: 1
Acties:

Verwijderd

Topicstarter
Het gaat me om het volgende: er bestaat binnen onze organisatie een soort account waarmee alles gemonitored wordt. Die accoun leest services uit op de servers en pompt dat naar een webpage die mensen kunnen bekijken. Nu was deze account domain admin, maar hier wordt misbruik van gemaakt en dus wil ik deze account minder rechten geven. Om te beginnen heb ik deze account nu serveroperator gemaakt ipv domainadmin.

Eigenlijk wil ik zien wat een Serveroperator allemaal kan in het domein. Nu ben ik al bezig geweest met RSOP en Gpresult maar hier kom ik niet echt veel verder mee. Je moet blijkbaar op de computer waarop je dat test, aangelogd zijn met een bepaalde account. Hoe kan ik bijvoorbeeld zien wat de rechten zijn van een bepaalde groep, zoals bijvoorbeeld Serveroperators?

Hoe kan ik zien wat een bepaalde useraccount allemaal kan op een bepaalde server, zonder dat ik met die account wezenlijk aangelogd ben op die server?

Heeft iemand nog een suggestie wat ik in een account op moet geven qua rechten zodat die account bijvoorbeeld wel services uit kan lezen en kan zien of een service draait of niet, maar niet daadwerkelijk die services kan stoppen en starten. Zeg maar alleen lees rechten of zoiets.

[ Voor 5% gewijzigd door Verwijderd op 23-12-2004 11:19 ]


Verwijderd

je kunt met de Group Policy Modeling Wizzard een simulatie doen... je kunt dan aangeven dat je als gebruiker x op pc y gaat inloggen en krijgt dan alle effectieve settings te zien

  • JaltaH
  • Registratie: Oktober 2002
  • Laatst online: 23:42

JaltaH

meh

De server operator group is alleen te vinden op Domain Controllers, de members hebben dan rechten op de DC's maar niet op de andere member servers.

Toch nog teveel rechten lijkt me, omdat men met dat account zo kan inloggen en het domain onderuit halen.
Is het niet mogelijk om op iedere server een lokale (standaard) user te maken die gebruikt wordt om de services te bekijken ?

Careful. We don't want to learn from this.


Verwijderd

als je remote services wilt monitoren zal je toch een admin (local admin) rechten moeten hebben. serveroperators is bijna hetzelfde alleen je kan geen wijzigingen maken in domain specifieke zaken. (bijv. je kan jezelf geen domain admin maken, maar je kan wel services stoppen om zo je domain te verzieken).

als er misbruik gemaakt wordt van het account, dan is het pw bekend. een simpele reset van het pw moet dan voldoende zijn...

Verwijderd

Topicstarter
Op Novell is dit beter geregeld, daar kun je een account simpelweg READ rechten geven op de tree.

Verwijderd

kan je niet met het computer account werken ofzo?? daarvan houdt het os zelf het wachtwoord bij

Verwijderd

[...]Nu was deze account domain admin, maar hier wordt misbruik van gemaakt en dus wil ik deze account minder rechten geven[...]
Verwijderd schreef op donderdag 23 december 2004 @ 19:29:
Op Novell is dit beter geregeld, daar kun je een account simpelweg READ rechten geven op de tree.
Ik zie je "probleem" niet hoor....
Als er misbruik van gemaakt wordt, is dat door een medebeheerder (knal voor z'n kop geven) of door iemand die er niks mee van doen hebt maar wel wachtwoord weet.
In dat geval volstaat, zoals iis5_rulez al zei, een simpele reset van het wachtwoord!
Pagina: 1