locked
work or school account - jak zjistit? RRS feed

  • Dotaz

  • Ahoj,
    v jedne firme resim problem, kdy uzivatele neodklikli pri prihlasovani do office/teams/... povoleni spravy pocitace firmou / skolou

    Uz je to samozrejme davno zablokovane pres GPO, ted hledam nejaky jednoduchy script, kterym bych (v logon/startup scriptu) pripadne relikty zjistil. Idealne neco primitivniho typu wmic / reg query > %computername%.txt ....

    MP


    pátek 21. dubna 2023 8:33
    Moderátor

Všechny reakce

  • Chvili jsem googlil :) Asi tak 5 minut...

    Dovedlo me to sem https://social.technet.microsoft.com/Forums/windows/en-US/ec84a9cd-f22a-4af6-a88b-dd2d6a584998/use-powershell-to-remove-work-or-school-account?forum=win10itprosecurity

    Tedy detekovat pritomnost Microsoft.AAD.BrokerPlugin* v %USERPROFILE% / AppData / Local / Packages  ?

    Vlastne se zeptam jinak - jde ti o ty, kteri rekli, ze nechteji spravu a nemaji tedy Setting / accounts / Access work or school zadny ucet?




    pondělí 24. dubna 2023 8:23
  • ne, jde mi naopak o ty, co se pripojili z firemniho (on premise AD) pocitace do skoly a pod. a PRIDALI SI CIZI AAD UCET. Samozrejme jsem to zakazal, ale jde mi o zpetnou kontrolu zda mi nekde neutekli

    %USERPROFILE%\AppData\Local\Packages\Microsoft.AAD.BrokerPlugin* mam take, a nejsem AAD joined :(

    MP

    P.S. pro zakazani na prase primo do registru:

    reg add HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Settings /v AllowWorkplace /t REG_DWORD /d 0

    reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WorkplaceJoin /v BlockAADWorkplaceJoin /t REG_DWORD /d 1




    úterý 25. dubna 2023 6:38
    Moderátor
  • ah so....

    Ja pracuji jako externista pro jednoho zakanika a mam tam vlastni stanici, ktera je v domene A NAOPAK mam na ni "by GPO default" svuj AD ucet propojeny s 365 uctem.

    Jsem prosvistel registry na vyskyt 365 logon name (email). Tohle se mi libi:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\JoinInfo\0861822F0E035E6444E2FB8B1ABECBC1F3EC63BA\ a v tom spousta info, vcetne logon name

    Je tam i vetev
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\TenantInfo\guid - patrne guid tenantu a v tom spousta info o tenantu

    Na me standardni nedomenove stanici, ktera neni propojena s 365 uctem takove vetve nemam.

    Zkus


    úterý 25. dubna 2023 7:22
  • Dalsi moznost je reverzni postup.

    Scan registy a souboru, propojit s uctem, novy scan. Porovnat zmeny. Pro porovnani REG pred a po existuje nekolik utilit - ja treba pouzivam Regshot.

    Na porovnani stavu souboroveho systemu nic aktualne nemam, ale urcite se neco najde.

    Nekam se to psat musi :)

    úterý 25. dubna 2023 7:30
  • Asi mi nic jineho nezbyde, ale cekal jsem, ze uz to nekdo (vy)resil

    MP

    úterý 25. dubna 2023 9:11
    Moderátor
  • HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\JoinInfo

    NZ

    MP


    úterý 25. dubna 2023 9:24
    Moderátor
  • Se obavam, ze se vetsinou chce prave pravy opak = stanice je hybrid join do AzureAD a chce se tam mit Work ucet automaticky - stejne jako to mam na stanici  u zakaznika.
    A toto lze pres GPO zaridit.
    Neni to moje pracovni parketa, tak bych musel hledat. Ale vim, ze to lze.

    Obracene - jak chces ty - to GPO IMHO neumi = vygumovat pracovni /skolni ucet.

    MS logika :)

    úterý 25. dubna 2023 9:26
  • Heureka!

    dsregcmd /status

    MP


    úterý 25. dubna 2023 9:46
    Moderátor
  • Pekne....  dik
    Pokud ti slo jen o detekci work accountu, tak mas asi pravdu.

    Pro doplneni:

    Na te stanici se zaregistrovanym uctem rekne u work account jen info k tenantu - WorkplaceTenantName a WorkplaceTenanID

    Uzivatel neni videt primo. Je pod WorkplaceThumprint - thumbrint  je cast v HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WorkplaceJoin\JoinInfo - jak jsem poslal minule

    Az tam se dozvim kdo je uzivatel.


    úterý 25. dubna 2023 12:43
  • ja to poustim v logon scriptu uzivatele, takze to mam po ruce, 

    dsregcmd /status | find /i "WorkplaceTenantName" > %username%_%computername% ....txt

    MP

    úterý 25. dubna 2023 13:19
    Moderátor
  • Jenze treba muj %username% je v danem pripade shluk znaku - neco jako d145fag

    Moje UPN v domene neni muj email. Suffix domeny neni ten mailovy.

    Tak se snazim rict, ze pokud te zajima JAKY ucet je propojen, tak lze v REG

    úterý 25. dubna 2023 13:30
  • No ale počkat. Že uživatel měl kromě práva registrace (AAD Registered) do cizího tenantu i možnost zavést do MDM znamená (Managed By), že kromě PRT pro přístup do dané organizace má tedy i počítač v dané organizaci? To jsou lokálními adminy?

    To tedy nebyla registrace zakázána, ani provedena do vlastní organizace? To není žádný HAADJ/AADJ/MDM? Jen tedy, až to z počítačů smažete, nezapomeňte, že v cílové organizaci záznam o tom počítači může být. Že na tom může jednoho dne někdo rozbít pravidla podmíněného přístupu. A případně u Vás mít trochu problém s vlastním tenantem.

    úterý 2. května 2023 10:43
    Vlastník
  • Ne, nemusi byt lokalni admini k tomu, aby to nadelo paseku v prihlasovani, do cloudu, licencovani MS produktu atd.

    Vlastni AAD sice existuje, ale NEPOUZIVA se pro spravu pocitacu/uzivatelu a NEsynchronizuje se s AD, je to jen mensi innstance pro licencovani PBI/Office.

    Jak rikam, zakazal jsem to, ale potrebuji dohledat co mi uniklo.

    MP


    středa 3. května 2023 7:57
    Moderátor
  • No, pokud tam nemá ten primární účet, tak dokáže. Ale naštěstí ne to MDM, to by to jinak teprve bylo veselé. Si třeba představ, že by ti cizí tenant sypal politiku na zálohování OneDrive.

    No, klidně. Ale když už bylo AD, je AAD, tak nějak vždy to pak bylo lepší propojit. Přeci jen SSO, člověk (uživatel) nemusí vynalézat, co do nějakého dialogu psát.

    Ale jak se říká, proti přání není rozkladu... ;-)

    A ano, tohle bohužel většina zakáže až je pozdě. A naopak ti co to na začátku hned zakázali se o rok dva později diví, proč polovina věcí nefunguje.

    Ale to tady nehrozí. ;-)

    středa 3. května 2023 14:35
    Vlastník
  • Nasype. Bezne.

    (NASTESTI ne v tomto pripade)

    Precti si diskusni fora, co vsechno zmizelo / zasedlo napr. studakum po prihlaseni na skolni Teams ze soukromeho pocitace se soukromym Office atd..., kdyz povolili skole administrovat pocitac.

    MP

    čtvrtek 4. května 2023 13:15
    Moderátor
  • No protože jsem správcem svého domácího počítače a nečtu.

    A protože správce firemního/školního tenantu neví, co činí a s jakými důsledky.

    Kombinace těchto dvou může mít takové podobné nemilé důsledky pro obě strany. No nemilé, kdyby to lidi dělali pořádně, tak možná právě naopak.

    Číst fóra nemusím, nebyla by to první škola a studenti, co jsou v září nemile překvapení, když jim smažou 365 účty. Ostatně v nejedné jsem jim to nastavení měnil, právě protože tyto důsledky. Když v záři volali, co se to stalo, a že studenti stojí s vidlemi před IT.

    čtvrtek 4. května 2023 16:27
    Vlastník