אני מברך "שהחיינו" על שאלתי הראשונה באתר ומודה מראש למנהלים ולכל מי שיענו.

אני צריך להקים AD שבו אני אהיה המנהל הראשי. תחתי יהיה מנהל נוסף שביכולתו יהיה לעשות הכל,

כולל התקנות תוכנות, יצירת משתמשים והרשאות. רק אני רוצה שאהיה מעליו, ביכולתי יהיה לבטל את

הרשאותיו וביכולתו לא יהיה לבטל את הרשאותי. שאלתי היא מהי הדרך המומלצת לעשות זאת? מדובר

במערכת XP. כן ברצוני לצין שאינני שולט טוב בשפה האנגלית.

1. AD דורש Windows Server. התחנות שמחוברות ל AD יכולות להריץ מערכות הפעלה משלל גירסאות (אך לא גירסאות ביתיות/מתחילים של XP/Vista/7), אבל עדיין תצטרך גירסת שרת ל AD (הכי זולה - ברכישה עם מחשב שרת חדש, כלומר OEM, תעלה לך כ 850$...)

2. מנהל שיכול לעשות הכל, יכול לעשות הכל (ולכן אין מישהו "מעל" מישהו). כיוון שהוא יכול לנהל את כל הקבוצות, הוא גם יכול לנהל את הקבוצה של Domain Admins וכך להסיר אותך מהקבוצה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אם הוא לא צריך אדמין מלא - תוכל לתת לו הרשאות ספציפיות (delegation) לגבי מה אתה רוצה שיעשה בדומיין, אבל זו שיטה לא מומלצת בגלל שקשה לעקוב אחרי צורת הרשאות זו.

תוכל להגדיר GPO עם restricted group על domain admin ולהוריד למשתמש הזה הרשאות שינוי של הGPO הזה וכך גם אם הוא מוריד לך את המשתמש הוא יחזור, תצטרך גם לבטל לו אפשרות למחוק את המשתמש שלך מהAD, מעבר לזה - נראה לי שאתה תהיה מסודר.

ראשית תודה רבה לשימי וקובי.

לשימי: באמת אמר לי חבר שכנראה אתה תענה לי על השאלה. כפי

שהבנתי אתה מהמומחים הגדולים בתחום. לגופו של ענין רציתי לשאול אותך

מה דעתך על עצותיו של קובי, האם הם סותמות את כל הפירצות שהיו

בשאלה?

לקובי: זכור לי שגם את שמך ראיתי הרבה באתר. כנראה אתה עוזר להרבה,

כפי שאתה עוזר לי. לגופו של ענין, אני רק מתחיל בנושאי sever, AD. אמנם

GPO, אני יודע מה זה, אבל אבקשך לפרט לי יותר גם בנושא הסוג של

restricted group וגם, מכיון שאינני בקי באנגלית, היכן נמצאות ההרשאות

שכתבת עליהם? גם שמעתי שיש צורת חיפוש להרשאות ספציפיות, משהו

כמו המילה GPO ושם ההרשאה, אם תוכל לומר לי מה היא?

דבר נוסף, נראה שבקומבינה שלך צריך גם להוריד ממנו את האפשרות

להוריד ממני את ההרשאות שיש לי לשנות את הGPO. (כפי שאני עושה לו

הוא יכול לעשות גם לי).


בתודה מראש לכולם

תודה, אני משתדל לעזור למי שרק אפשר,
ולעניינינו: אם אתה רק מתחיל אז לא הייתי נכנס לריבים על שליטה עם מישהו שמבין יותר, פשוט אל תיתן לו הרשאות אדמין,
מה הוא כן צריך להצליח לעשות אצלך ברשת?

לגבי השאלות שלך -

start --> run --> rsop.msc
start --> run --> gpmc.msc

תלכלך את הידיים - רק ככה לומדים.

לשאלתך לעניין מה שאני אמרתי ומה שקובי אמר:

אני אמרתי שאם אתה נותן לו אדמין, אתה לא יכול להגביל אותו מלעשות מה שהוא רוצה. זה אינהרנטי להגדרה "אדמין". השיטה של קובי היא לתת לו הרשאה פחותה מאדמין, ובכך, למנוע ממנו להסיר אותך מהרשאותיך. זה בהחלט פתרון טוב (בהנחה שהוא לא ניתן לעקיפה בדרכים אחרות, אני לא מומחה בחלונות למעט העובדה שאני יודע שתכנון האבטחה שם נוטה להיות לקוי...) - אבל זה לא מה שביקשת. ביקשת לתת הרשאת אדמין (כלומר *כל* מה שאדמין יכול לעשות), מבלי שאפשר יהיה להוריד לך את האדמין. זה, לעניות דעתי, בלתי אפשרי.

ובאופן כללי אין לי מושג איך מגדירים GPO שיאפשר לעשות מה שביקשת (ניהול משתמשים וקבוצות) מבלי שתוכל לנהל את הקבוצה Domain Admins, זו שמאפשרת לו להוריד לך את האדמין. אלא אם כן, שוב, הקבוצה הזו תועבר למקום אחר, ולא ינתנו הרשאות Admin, אלא Delegation על כל שאר המקומות בדומיין. (מה ששוב חוזר לטענה שלי: זה כבר לא אדמין אמיתי. וגם... מה יקרה כשהוא ייצור אובייקט GPO שחל על ה Domain Controller שמריץ משהו ב Startup של המכונה? צריך לחשוב על זה לעומק...). קובי?

נמאס לכם לזכור סיסמאות? לחצו כאן!

תכנון האבטחה לקוי עד-כמה שהמתכננים מאפשרים לו - גם בתחרות האבטחה לינוקס-חלונות-מאק לא פרצו אף אחת ממערכות ההפעלה (אם נתעלם מתוכנות צד-שלישי)
לגבי השאלה שלך - הכול אפשר לעקוף, הדרך היחידה שאני מצליח לחשוב עליה ככה בשלוף היא להכניס את עצמך לOU אחד ולתת למשתמש השני deny על הOU הזה כך שאי אפשר יהיה לשנות את המשתמש שלך, ולשם להכניס את קבוצת domain admins ואת administrators ככה שגם אותם אי אפשר יהיה לשנות, זה אמור לכסות אותך מכיוון net use על שרת הAD, וגם אם בטעות משהו קורה - restricted groups פעם ב-6 שעות ואתה מסודר...
אבל למה לתת למשתמש יותר הרשאות ממה שהוא צריך? בגלל זה לחלונות יש שם רע... (אני יודע שזה נראה כמו העלאה להנחתה... אבל תהיה עדין ) בכול מקרה זה משהו שצריך לתכנן ולבדוק, כי לך תדע מה GPO שהוא ייצור על הOU הזה יעשה (אפילו עם block inheritance הוא יכול לחייב עם override), במיוחד אם הוא האחרון ברמה של הדומיין...
שאלה טובה - זה לא משהו לפורום

ציטוט:

במקור נכתב על ידי קוביבי תכנון האבטחה לקוי עד-כמה שהמתכננים מאפשרים לו

כמו למשל ההשתלטות על דומיין אם יש לך דרך להגדיר שומר מסך באחד ה DC-ים ואז אתה מגדיר ששומר המסך שלך הוא cmd.exe ומחכה שהשומר מסך יעלה, ומקבל הרשאת אדמין על השרת ומשם על הדומיין בלי שום הזדהות?

נמאס לכם לזכור סיסמאות? לחצו כאן!

בס"ד

מאז ששלחתי את השאלה וכל ההתכתבות הנ"ל עבר הרבה זמן. בינתיים חשבתי על פתרון פשוט מאד
לשאלתי הראשונה, אלא שאינני יודע אם הנתונים שלי נכונים.
הפתרון הוא לתת למשתמש העליון ביותר את שם המשתמש administrator. כמובן שיש לו הרשאות אדמיניסטראטור.
לזה שתחתיו לתת שם אחר ולהכניס אותו ג"כ לקבוצת administrators.
כפי שנראה לי לשם administrator א"א להסיר ממנו הרשאות administrators (אפילו מי שיש לו הרשאות administrators) ולכל משתמש אחר ודאי שאפשר וכך תפתר הבעיה. האם אני צודק?

למשתמש Administrator יש את ההרשאות שיש לו פשוט משום שהוא חבר בקבוצה Domain Admins (שבתורה, חברה בקבוצה המקומית Administrators בכל מחשב שמתחבר לדומיין), ובקבוצות נוספות שיש להן הרשאות על הדומיין - אין שום דבר מיוחד במשתמש Administrator שנותן לו הרשאות מעבר לכך בגלל השם שלו (גם אם תשנה את שם המשתמש, הוא עדיין יוכל לעשות אותו דבר). לכן, כל משתמש שיהיה חבר בקבוצות ה"כוח" שבדומיין, יוכל לעשות בדיוק מה שהמשתמש administrator יוכל לעשות...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז למה אינני מצליח למחוק את המשתמש administrator גם לאחר שאני משנה לו את השם וגם אם אני מנסה למוחקו ע"י משתמש אחר בעל הרשאות administrators?

בגלל ה SID שלו ...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני גם לא מצליח להסיר ממנו הרשאות אדמינ' ע"י משתמש אחר בעל הרשאות אדמינ'.