none
SBS 2011 standard - nežádoucí přístup k serveru adalším PC pomocí vzdáleného webového přístupu

    Dotaz

  • Dobrý den,

    nějakým úžasným způsobem se mi při konfiguraci objektů a služeb D-COM IIS WAMREG admin Service a asi i registru, podařilo nastavit toto:

    Při přihlášení standardního uživatele v doméně do vzdáleného webového přístupu - pracovní prostor, se zobrazují a nabízí připojení k SERVERU a dalších počítačů v síti  ačkoliv nemají oprávnění k nim přistupovat. V defaultní instalaci to samozřejmě nešlo, a práva pro přístup definoval správce sítě. V tuto chvíli ale nemám nad tím kontrolu.

    Takže nyní mají všichni uživatelé kteří se připojují vzdáleně do sítě v nabídce SERVER a další PC, což je špatně.  Nebude problém např. v nastavení práv v  SharePointu ?
    Netušíte kde se stala chyba ??

    Děkuji za každou odpověď nebo radu, která mne dokope do vyřešení toho problému.


    15. října 2013 18:00

Odpovědi

  • v SBS Admin konzoli je na to pro každého uživatele volba. takže bych prošel každý stroj a zvláště server a nastavení zakázal, případně cvičně opakovaně povolil a zakázal aby se změny projevily už korektně.

    výše uvedeným postupem si myslím že by mělo jít snadno změnit nastavení zabezpečení jednoduchou cestou.

    p.s.: pokud skutečně nemají oprávnění na ty stroje, tak bych se ničeho nebál, sice to je nepříjemné ale není to zásadní bezpečnostní problém.


    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.

    18. října 2013 11:23
  • Tak či tak se ale uživatelé nemohou vúči těm strojům autentizovat, pokud je to jen rozbitý RWA. Oni se na ty počítače přihlasí, nebo ne?

    Nicméně, přiřazení PC k uživatelům (ostatně jako spousty dalších nastavení z SBS Console) se řídí pomocí AD atributů. Otevřete si standardní konzoli Active Directory Users and Computers Doména>MyBusiness>Users>SBSUsers>uzivatel<vlastnisti<Attribute editor<msSBSComputerUserAccessOverride - co tam máte?

    JP

    7. listopadu 2013 12:00

Všechny reakce

  • Bylo by dobře priznat barvu a dat vic informaci o zmene konfigurace.

    Pripojte také jake chyby a varovani mate v protokolech udalosti.

    M.

    17. října 2013 10:39
    Moderátor
  • v SBS Admin konzoli je na to pro každého uživatele volba. takže bych prošel každý stroj a zvláště server a nastavení zakázal, případně cvičně opakovaně povolil a zakázal aby se změny projevily už korektně.

    výše uvedeným postupem si myslím že by mělo jít snadno změnit nastavení zabezpečení jednoduchou cestou.

    p.s.: pokud skutečně nemají oprávnění na ty stroje, tak bych se ničeho nebál, sice to je nepříjemné ale není to zásadní bezpečnostní problém.


    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.

    18. října 2013 11:23
  • Nainstalovat jsem čistou instalaci a nakonfiguroval doménu a její uživatele. Vše bylo ok. Po té jsem se zaměřil na chyby(dle zkušenosti z SBS 2003) že si projdu všechny chybové hlášky v logu a pokusím se je eliminovat. Jednou z věcí, co jsem editoval bylo úprava chybové hlášky DCOM error viz: http://blogs.msdn.com/b/emeadaxsupport/archive/2010/01/26/unable-to-edit-the-dcom-settings-for-iis-wamreg-admin-service-on-a-windows-server-2008-r2-when-trying-to-configure-kerberos-authentication-for-role-centers.aspx  ale to by mělo být snad OK.

    a dál něco dle návodu od Microsoftu na další error logy na webu v sharepointu, ale už nevím kde. :(

    Výpis některých error logů:

    -  MSEXchange  Cmdlet failed. Cmdlet Get-User, parameters {Identity=NT AUTHORITY\SYSTEM}.

    - Relaci WBCommandletInBuiltTracing se nepodařilo spustit, protože došlo k následující chybě: 0xC0000035.

    Takže situace trvá, stále nejde změnit oprávnění v konzoli SBS  přidat nebo ubrat zobrazení PC a serveru do jejich vzdáleného přihlášení tak jako v defaultní instalaci,  při přihlášení vzdáleného uživatele . Stále se zobrazuje ikona SERVERU a PC. Lze to vypnout centrálně( ve sdílených webech ) pro všechny aby se nezobrazovali, ale to není řešení.

    Napadá Vás něco ? V nejhorším budu muset kontaktovat Microsoft a požádat (za tučný poplatek) o řešení :(

    Pospíšil

    18. října 2013 17:46
  • Píšeš o čisté instalaci a nic o aktualizaci, aktualizoval jsi SBS? Doufám že jen přes Microsoft Update? Nic jsi nepřidával ručně?

    zkus projet celý server poslední verzí SBS Best Practice Analyzer. Koukni co ti nabízí a zvláště co ti hlásí že případně je špatně ...


    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.


    20. října 2013 2:01
  • Tak či tak se ale uživatelé nemohou vúči těm strojům autentizovat, pokud je to jen rozbitý RWA. Oni se na ty počítače přihlasí, nebo ne?

    Nicméně, přiřazení PC k uživatelům (ostatně jako spousty dalších nastavení z SBS Console) se řídí pomocí AD atributů. Otevřete si standardní konzoli Active Directory Users and Computers Doména>MyBusiness>Users>SBSUsers>uzivatel<vlastnisti<Attribute editor<msSBSComputerUserAccessOverride - co tam máte?

    JP

    7. listopadu 2013 12:00