none
policy blocco account 2003 server: administrator? RRS feed

  • Domanda

  • Buongiorno,

    in un dominio windows 2003 server R2 standard edition SP2, ho attivato il blocco dell'account dopo 3 immissioni di pwd errate. Il dominio è composto dal server prima descritto che è il controller del dominio, e da un server 2008 con Exchange 2007.

    Il blocco funziona molto bene ma la cosa che mi lascia perplesso è che blocca anche l'account administrator se vengono fatti 3 tentativi di pwd errata.

    Mi chiedo: se qualcuno mi blocca l'account administrator come faccio ad accedere al server?

    Grazie a tutti.

    Vito

     

     

    domenica 5 dicembre 2010 20:44

Risposte

  • Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

    Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

     

    Chissà perchè mi risulta tutto confuso.

    Innanzitutto un attacco bruteforce tenta diverse centinaia di passowrd al minuto e può continuare per diversi giorni, quindi, il limite di tre password non ha senso (di solito si imposta su 20/30 password per evitare di interventire di continuo per account bloccato da utenti che si sono dimenticat la password)... Inoltre, in questo periodo di attacco, hai il tempo di accorgertene e intervenire se hai settato i vari log di sicurezza sul server, firewall, ecc...

    Se crei un altro account con privilegi di amministratore (sul dominio e non solo sulla macchina) è vero che può essere anch'esso oggetto di un attacco, ma il malintenzionato deve conoscerne l'esistenza, inoltre ne può attaccare uno alla volta.....

    Detto questo, ripartiamo dal principio: hai scritto: "ho attivato il blocco dell'account" come hai fatto? (soprattutto se non hai il GPMC....)

    Forse si può ripetere la configurazioni in maniera diversa... editando le policy di dominio..

    Quello che ancora, dopo tutti questi post, non mi è chiara è se vuoi che l'account administrator si blocchi o no...

    Se la risposta è no... allora edita correttamente la Group policy di default del dominio...

    Nel frattempo hai installato la GPMC?


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 15:47

Tutte le risposte

  • Mi chiedo: se qualcuno mi blocca l'account administrator come faccio ad accedere al server?

     

    Sono perplesso: 3 tentativi mi sembra un numero molto basso... Di solito è una policy per impedire attacchi brute force, quindi con numeri di tentativi molto elevati...

    Il blocco è temporaneo.. dopo 30 minuti l'account viene riabilitato (se la policy è configurata correttamente, ovviamente)..

    Inoltre puoi sempre creare un account con tutti i privilegi amministrativi sul dominio (domain e forest admin), con password complessa, da usare sia per l'amministrazione del dominio che per intervenire in casi come questi...


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    domenica 5 dicembre 2010 23:55
  • E' una policy per bloccare gli attacchi. Io non voglio che gli account siano riabilitati automaticamente dopo 30 min.

    Mi stai dicendo che c'è un modo di configurare l'account administrator in modo da non farlo cadere nel blocco? E come si fa?

     

    Grazie

     

    lunedì 6 dicembre 2010 08:22
  • puoi tranquillamente disabilitare la riabilitazione automatica degli account dopo 30 minuti.

    per quanto riguarda l'administrator, di default non è soggetto a questa policy di blocco. sei sicuro che non sia stato creato un altro account e che sia stato chiamato administrator mentre l'originale "administrator" è stato forse disabilitato ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 6 dicembre 2010 09:25
    Moderatore
  • L'account administrator non è stato disabilitato. Da dove si cambia il default di cui mi parli?

     

    Grazie

    lunedì 6 dicembre 2010 09:41
  • L'account administrator non è stato disabilitato. Da dove si cambia il default di cui mi parli?

    metti a 0 i minuti di blocco
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 6 dicembre 2010 10:53
    Moderatore
  • già fatto, l'account administrator viene bloccato se si supera il numero di tentativi impostati.
    lunedì 6 dicembre 2010 11:11
  • Vito, c'è un po' di confusione nel post. Potresti chiarire alcuni punti?

    • Se vuoi o non vuoi la riattivazione automatica dell'account.
    • Se sono state impostate cose particolari nelle policy che potrebbero aver influito sul comportamento "standard" di windows 2003 R2 (default), che è di NON bloccare MAI l'account Administrator per tentativi di password scorrette.
    Ciao!

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 6 dicembre 2010 11:22
  • Non voglio la riattivazione automatica dell'account.

    Nelle policy non c'è impostato nulla di particolare. Ho letto della documentazione in cui si dice che l'account administrator non viene mai bloccato ma purtroppo sul mio sistema non succede questo. Ecco perchè mi sono chiesto: con l'account administrator bloccato come faccio ad accedere?

    Grazie a tutti e mi scuso se non sono stato molto chiaro.

     

     

     

    lunedì 6 dicembre 2010 11:31
  • Ciao Vito,

    Hai letto questo, come documentazione:

    http://technet.microsoft.com/en-us/library/cc783860%28WS.10%29.aspx

    ?


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 6 dicembre 2010 11:33
  • mi dici se lo username dell'account Administrator è proprio "administrator"?

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 6 dicembre 2010 11:37
  • Ho dato un'occhiata alla documentazione da te segnalata: molto utile ma non accenna al mio problema.

    Lo username dell'account administrator è "administrator".

    lunedì 6 dicembre 2010 11:54
  • Come ti ho scritto precedentemente, considerato che per ora l'account administrator non è bloccato, per evitare di "chiudersi la porta in faccia", e soprattutto, considerato che per qualche arcano motivo non vuoi che l'account si sblocchi in automatico dopo tot minuti, creati un nuovo account con tutti i privilegi... lo puoi sempre usare in situazioni di emergenza.
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 12:02
  • Ma così ho forse solo raggirato il problema in quanto un attacco con forza bruta come mi bloccherebbe l'account administrator così bloccherebbe anche l'altro account con gli stessi privilegi di administrator.

    Non voglio che si sblocchi dopo n minuti, se ho bisogno di accedere devo accedere subito senza aspettare n minuti. Inoltre se sblocco dopo n minuti do' la possibilità di ritentare l'attacco dopo n minuti.

    Oltre al fatto che se il server è sotto attacco trascorsi gli n minuti necessari al blocco verrà ribloccato subito.

    Ecco perchè voglio risolvere il problema alla base.

     

     

    lunedì 6 dicembre 2010 12:13
  • Verifica i permessi sulla policy che blocca gli account ed escludi l'account administrator
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 12:16
  • quindi, in delegation, verifica che administrator non abbia il permesso "read"
    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 12:21
  • Come si esclude l'account administrator?

    Dove trovo la voce "delegation"?

     

    Grazie

    lunedì 6 dicembre 2010 12:26
  • devi accedere alla GPMC, selezionare la policy con le policy che ti interessano, e nella finestra di sinistra vedrai il tab con delegation.

    La group policy management console la trovi tra gli strumenti di amministrazione


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 12:28
  • sul mio server, 2003, non c'è un GPMC tra gli strumenti di amministrazione ma c'è "criteri di protezione del dominio" e "criteri di protezione del controller di dominio." Da queste due non vedo a sinistra il tab con delegation.
    lunedì 6 dicembre 2010 12:36
  • Se non trovi la GROUP POLICY MANAGEMENT CONSOLE allora la puoi scaricare dal web:

    http://www.microsoft.com/downloads/en/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en

     dal prompot dei comandi, per verificare le policy applicate, puoi dare il comando gpresult con l'opzione /? vedi tutte le opzioni disponibili


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 12:43
  • ma così escluderei l'account administrator da tutta la policy e non solo dall'opzione inerente il blocco dell'account. Comuqnue così aggiro sempre il problema ma non lo risolvo.

     

    lunedì 6 dicembre 2010 13:02

  • Ciao,

    meglio verificare prima una cosa: hai impostato tutto nella default domain policy?

    se si devi separare le impostazioni di lockout e applicare la nuova policy a livello di DOMINIO, sempre.

    poi, dalla GPMC meglio se fai un click dx ->Edit..

    poi fai click dx sul root node della policy e scegli proprietà...

    vai in protezione e aggiungi "administrator" e gli metti nega SOLO applicazione. Mi raccomando metti solo quella spunta su nega.

     

     

    Il problema tuo è che Administrator è finito nella policy, anche se di default non dovrebbe modificarsi.

    Probabilmente questo è frutto di modifiche passate che hanno corrotto questa parte del tuo Active Directory.

     

    Posta qui un GPRESULT dall'utente administrator loggato su un client, per favore.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 6 dicembre 2010 13:21
  • A parte i consigli corretti di Diego, mi chiedo, come fai a sapere quale policy sono applicate? Come fai a sapere che vengono applicate anche ad administrator?

    Mi pongo queste domande non avendo ancora tu verificato quali policy e a chi vengono applicate...


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 13:27
  • Ah, mi posti per favore anche l'output di

    dsquery user domainroot -samid adminis*

    eseguito dal controller di dominio?

    Thanks.


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 6 dicembre 2010 13:28
  • GPRESULT


    Strumento Risultati Criteri di gruppo del sistema operativo

    Microsoft (R) Windows (R) versione 2.0
    Copyright (C) Microsoft Corp. 1981-2000

    Set creato il 06/12/2010 alle 14.43.58

     

    Dati RSOP per AIMAIL\administrator su MERCURIO3 : Modalit… di registrazione
    ----------------------------------------------------------------------------

    Tipo SO:                     Microsoft(R) Windows(R) Server 2003, Standard Edition
    Configurazione SO:           Controller di dominio primario
    Versione SO:                 5.2.3790
    Modalit… Terminal Server:        Amministrazione remota
    Nome sito:                   Nome-predefinito-primo-sito
    Profilo comune:            
    Profilo locale:              C:\Documents and Settings\Administrator
    Connesso attraverso

    un collegamento lento?:      No


    IMPOSTAZIONI COMPUTER
    ----------------------
        CN=MERCURIO3,OU=Domain Controllers,DC=aimail,DC=local
        Ultima applicazione dei

        criteri di gruppo:                   06/12/2010 in 14.40.12
        Criterio di gruppo applicato da:     mercurio3.aimail.local
        Limite del collegamento lento

        dei criteri di gruppo:               500 kbps
        Nome dominio:                        aimail
        Tipo di dominio:                        Windows 2000

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Default Domain Controllers Policy
            Default Domain Policy

        I seguenti oggetti Criteri di gruppo non sono stati

    applicati perch‚ sono stati esclusi dal filtro
        -----------------------------------------------------------------------------------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)

        Il computer fa parte dei seguenti gruppi di protezione
        ------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            Accesso compatibile precedente a Windows 2000
            BUILTIN\Users
            Gruppo di accesso autorizzazione Windows
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            MERCURIO3$
            Controller di dominio
            ExchangeLegacyInterop
            CONTROLLER DI DOMINIO ORGANIZZAZIONE
           

    IMPOSTAZIONI DELL'UTENTE
    -------------------------
        CN=Administrator,OU=aurigaspa.com,OU=OU MAIL,DC=aimail,DC=local
        Ultima applicazione dei

        criteri di gruppo:                   06/12/2010 in 13.24.55
        Criterio di gruppo applicato da:     mercurio3.aimail.local
        Limite del collegamento lento

        dei criteri di gruppo:               500 kbps
        Nome dominio:                        AIMAIL
        Tipo di dominio:                        Windows 2000
       
        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Default Domain Policy
            Criteri gruppo locale

        L'utente fa parte dei seguenti gruppi di protezione
        ---------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Accesso compatibile precedente a Windows 2000
            REMOTE INTERACTIVE LOGON
            NT AUTHORITY\INTERACTIVE
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            LOCALE
            SMSMSE Admins
            Domain Admins
            Proprietari autori criteri di gruppo
            Schema Admins
            Exchange Organization Administrators
            Exchange Recipient Administrators
            Exchange View-Only Administrators
            Exchange Public Folder Administrators
            Enterprise Admins

    DSQUERY

    "CN=Administrator,OU=aurigaspa.com,OU=OU MAIL,DC=aimail,DC=local"

     

           

    lunedì 6 dicembre 2010 13:46
  • Non voglio la riattivazione automatica dell'account.

    Nelle policy non c'è impostato nulla di particolare. Ho letto della documentazione in cui si dice che l'account administrator non viene mai bloccato ma purtroppo sul mio sistema non succede questo. Ecco perchè mi sono chiesto: con l'account administrator bloccato come faccio ad accedere?

    ma forse l'account administrator non è bloccato per il superamento dei tentativi di accesso ma perchè qualche altro admin lo ha lockato.

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 6 dicembre 2010 15:01
    Moderatore
  • ho anch'io lo stesso dubbio di Adriano: come fai a dire che sul tuo sistema l'account administrator si blocca dopo n tenativi di accesso cn credenziali sbagliate ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 6 dicembre 2010 15:05
    Moderatore
  • Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

    Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

     

    lunedì 6 dicembre 2010 15:28
  • Ho creato un altro account con diritti di administrator, attivato la policy, sbagliato n volte la pwd dell'account administrator, l'account administrator risulta bloccato. Inoltre ho il riscontro anche nel visualizzatore eventi che l'account administrator è bloccato.

    Quindi sono sicuro che la policy ha questo effetto anche sull'account administrator. Inoltre questa prova l'ho fatta più volte ottenendo sempre lo stesso risultato.

     

    Chissà perchè mi risulta tutto confuso.

    Innanzitutto un attacco bruteforce tenta diverse centinaia di passowrd al minuto e può continuare per diversi giorni, quindi, il limite di tre password non ha senso (di solito si imposta su 20/30 password per evitare di interventire di continuo per account bloccato da utenti che si sono dimenticat la password)... Inoltre, in questo periodo di attacco, hai il tempo di accorgertene e intervenire se hai settato i vari log di sicurezza sul server, firewall, ecc...

    Se crei un altro account con privilegi di amministratore (sul dominio e non solo sulla macchina) è vero che può essere anch'esso oggetto di un attacco, ma il malintenzionato deve conoscerne l'esistenza, inoltre ne può attaccare uno alla volta.....

    Detto questo, ripartiamo dal principio: hai scritto: "ho attivato il blocco dell'account" come hai fatto? (soprattutto se non hai il GPMC....)

    Forse si può ripetere la configurazioni in maniera diversa... editando le policy di dominio..

    Quello che ancora, dopo tutti questi post, non mi è chiara è se vuoi che l'account administrator si blocchi o no...

    Se la risposta è no... allora edita correttamente la Group policy di default del dominio...

    Nel frattempo hai installato la GPMC?


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 15:47
  • senza GPMC è possibile editare le policy usando "criteri di protezione del dominio" e "criteri di protezione del controller di dominio" che io ho usato per fare questo mio test. Ho impostato 3 tentativi per fare la prova: poi magari metto 30 tentativi di pwd errata.

    Il punto non è se voglio che l'account administrator si blocchi o no ma come gestire questa situazione:

    1) l'account administrator si blocca

    2) se si blocca non so come accedere.

    Allora

    a) faccio in modo di non bloccare l'account administrator

    b) mi sono chiesto se esiste un modo di sbloccare un account administrator bloccato.

     

    Per il punto a) ho capito che devo usare la GPMC, l'ho installata ma la trovo ostica da usare. Devo capire bene cosa modificare perchè sto su un sistema in produzione. Sinceramente pensavo fosse più semplice ripristinare la situazione di default.

    Per il punto b) mi sembra di aver capito che o hai la fortuna di avere un account administrator non bloccato o ti sei perso l'accesso al sistema.

    Mi spieghi perchè con un attacco "ne può attaccare uno alla volta" ?

    Grazie

     

      

     

    lunedì 6 dicembre 2010 18:13
  • Mi spieghi perchè con un attacco "ne può attaccare uno alla volta" ?

    Per attacco bruteforce si intendono attacchi perpetrati tramite software che testano tantissime password (prendendole da un vocabolario o generandole su un set di caratteri...)... l'attacco viene fatto su un account. Può essere administrator o un account del quale chi attacca conosce in qualche modo l'esistenza...

    Non penso che tu intendi un attacco fatto manualmente da qualcuno (allora diventa proprio eterno se hai impostato una password complessa...)

    Quindi, se ti crei un secondo account con privilegi amministrativi, puoi sempre operare...

    Se poi con queste precauzioni, con password complesse, con policy che registrano tentativi di accessi non autorizzati ecc...ecc  una persona riesce comunque ad accedere al tuo server, ahimè,  non mi resta che fargli i complimenti...

    Tra l'altro non dici nulla in merito al fatto se il server è esposto a reti pubbliche (internet) o se è isolato su una lan... quindi protetto da firewall...

    quali servizi offre... ecc.. ecc...

     

     

     

     

     


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    lunedì 6 dicembre 2010 18:37
  • Per attacco bruteforce si intendono attacchi perpetrati tramite software che testano tantissime password (prendendole da un vocabolario o generandole su un set di caratteri...)... l'attacco viene fatto su un account. Può essere administrator o un account del quale chi attacca conosce in qualche modo l'esistenza...

    Non penso che tu intendi un attacco fatto manualmente da qualcuno (allora diventa proprio eterno se hai impostato una password complessa...)

    Quindi, se ti crei un secondo account con privilegi amministrativi, puoi sempre operare...

    alla ottima spiegazione di Adriano aggiungo solo un dettaglio: se il secondo account con privilegi amministrativi non lo chiami amministratore ma lo chiami, ad esempio, gandalf sei già sufficientemente sicuro perchè l'attacco brute force viene fatto sulle password di account di cui si conosce lo username ma se l'attaccante dovesse anche andare per tentativi ad indovinare uno username da attaccare allora non ce la fa più (oltre a non sapere quali sono gli account che godono di privilegi amministrativi).

    my two cents.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 7 dicembre 2010 08:16
    Moderatore
  • Per favore, qualcuno che ha un dominio sotto mano, può fare un gpresult per l'account administrator?

    Vorrei capire se i gruppi di appartenenza sono stati modificati.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 7 dicembre 2010 08:44
  • Vi ringrazio per il vostro supporto. Studierò la GPMC anche se sono più propenso a creare un secondo account administrator seguendo i consigli che mi avete dato.

     

    Grazie ancora.

     

    Vito

    martedì 7 dicembre 2010 08:44
  • @diego:

    Microsoft Windows [Versione 5.2.3790]
    (C) Copyright 1985-2003 Microsoft Corp.

    C:\Documents and Settings\Administrator>gpresult

    Strumento Risultati Criteri di gruppo del sistema operativo
    Microsoft (R) Windows (R) versione 2.0
    Copyright (C) Microsoft Corp. 1981-2000

    Set creato il 07/12/2010 alle 9.47.35


    Dati RSOP per dominio\administrator su ALTOSG530 : Modalità di registrazione
    ---------------------------------------------------------------------------

    Tipo SO:                     Microsoft(R) Windows(R) Server 2003, Standard Editi
    on
    Configurazione SO:           Controller di dominio primario
    Versione SO:                 5.2.3790
    Modalità Terminal Server:        Amministrazione remota
    Nome sito:                   ******
    Profilo comune:
    Profilo locale:              C:\Documents and Settings\Administrator
    Connesso attraverso
    un collegamento lento?:      No


    IMPOSTAZIONI COMPUTER
    ----------------------
        CN=ALTOSG530,OU=Domain Controllers,DC=****,DC=server
        Ultima applicazione dei
        criteri di gruppo:                   07/12/2010 in 9.45.20
        Criterio di gruppo applicato da:     altosg530.*****.server
        Limite del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        *****
        Tipo di dominio:                        Windows 2000

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Default Domain Policy III

        I seguenti oggetti Criteri di gruppo non sono stati
    applicati perché sono stati esclusi dal filtro
        ----------------------------------------------------------------------------
    -------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)

        Il computer fa parte dei seguenti gruppi di protezione
        ------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            Accesso compatibile precedente a Windows 2000
            BUILTIN\Users
            Gruppo di accesso autorizzazione Windows
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            ALTOSG530$
            Controller di dominio
            CONTROLLER DI DOMINIO ORGANIZZAZIONE


    IMPOSTAZIONI DELL'UTENTE
    -------------------------
        CN=Administrator,CN=Users,DC=*****,DC=server
        Ultima applicazione dei
        criteri di gruppo:                   07/12/2010 in 9.34.50
        Criterio di gruppo applicato da:     altosg530.*****.server
        Limite del collegamento lento
        dei criteri di gruppo:               500 kbps
        Nome dominio:                        *****
        Tipo di dominio:                        Windows 2000

        Oggetti Criteri di gruppo applicati
        ------------------------------------
            Default Domain Policy III

        I seguenti oggetti Criteri di gruppo non sono stati
    applicati perché sono stati esclusi dal filtro
        ----------------------------------------------------------------------------
    -------------------------
            Criteri gruppo locale
                Filtro:  Non applicato (Vuoto)

        L'utente fa parte dei seguenti gruppi di protezione
        ---------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Accesso compatibile precedente a Windows 2000
            REMOTE INTERACTIVE LOGON
            NT AUTHORITY\INTERACTIVE
            NT AUTHORITY\Authenticated Users
            Questa organizzazione
            LOCALE
            Domain Admins
            Proprietari autori criteri di gruppo
            KLAdmins
            Enterprise Admins
            Schema Admins
            SQLServer2005MSSQLUser$SERVEREXVIM$SQLEXPRESS


    Adriano Mariolini MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]my.sysadmin.it
    martedì 7 dicembre 2010 08:51
  • Grazie Adriano. i gruppi mi sembrano OK..

     


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    martedì 7 dicembre 2010 09:39