none
Na Windows serveru se vytvořil profil uživatele, který má zakázáno přihlašování

    Dotaz

  • Ahoj. Windows server mi funguje jako doménový + souborový server. Windows server je nastaven tak, že přihlašovat se k němu přes vzdálenou plochu i lokálně může jen Administrator a vybraný účet, nikdo jiný ne. Zjistil jsem ale, že v C:\Users na Windows serveru se objevil adresář uživatele, který nemá povolení se lokálně přihlašovat na Windows serveru. Může se přihlašovat pouze na  stanicích připojených do domény. Nepoužívám cestovní profily a v definici uživatele v active directory nejsou definovány domovské adresáře, data uživatelů řeším jen tím, že se po přihlášení připojí sdílený disk. Jakým způsobem se tedy může vytvořit v Users adresář uživatele, který se nemůže přihlásit? Jaké nastavení zabezpečení mám zkontrolovat a kdy jindy se automaticky vytváří adresáře v Users (kromě 1. přhlášení)?
    pondělí 3. února 2014 21:29

Odpovědi

  • Profil na serveru se nevytváří jen přihlášením ke stanici, ale třeba i při používání šifrování (DFS), v podstatě kdykoli je potřeba identita uživatele. Složka desktop se většinou nevytváří, takže to může být takové malé vodítko, jak oddělit fyzické přihlášení od aplikačního.

    Filip

    úterý 4. února 2014 9:13

Všechny reakce

  • Profil na serveru se nevytváří jen přihlášením ke stanici, ale třeba i při používání šifrování (DFS), v podstatě kdykoli je potřeba identita uživatele. Složka desktop se většinou nevytváří, takže to může být takové malé vodítko, jak oddělit fyzické přihlášení od aplikačního.

    Filip

    úterý 4. února 2014 9:13
  • 1. Z data vytvoreni by mohlo byt mozne usoudit, co se na serveru delo.

    2. Jak se jmenuje profil/user?

    3. Podivejte se na detailni prava "tajemneho" uzivatele.

    4. Muzete pouzit audit ke zjisteni chovani a vazeb.

    M.

    úterý 4. února 2014 9:37
    Vlastník
  • Je to tak, v adresáři uživatele je jen AppData adresář. Ale konkrétně DFS to asi nebude - to mám jen implicitně na NETLOGON a SYSVOL a šifrovat by se měla jen synchronizace. Jinak identita uživatele by měla být dána jen jeho konfigurací a ověřována kerberem ne? K čemu "aplikační" adresáře na serveru, ke kterým se uživatel stejně nedostane (má vlastní na klientovi)?
    úterý 4. února 2014 17:33
  • Z data vytvoření jsem se pokusil najít v logu patřičné záznamy, ale všiml jsem si toho pozdě, kdy už se starší logy přepsaly novějšími. Uživatel je to standardní (co jsem vytvořil v AD) se standardními právy.
    úterý 4. února 2014 17:40