none
Права на добавленные компьютеры в домене RRS feed

  • Вопрос

  • Всем привет.

    Есть группа безопасности, которой даны права на добавление компьютеров в домен. Учётные записи пользователей из этой группы успешно создают учетки компьютеров. 

    Заметил, что на компьютерах, которые добавили эти пользователи, помимо стандартных прав доступа добавлены права именно той учетной записи пользователя, которая и ввёла ПК в домен. Причем есть разрешающие права доступа без самих прав, т.е. указана учетка, указано что только на этот объект, а поле Access пустое. При редактировании этого правила видно, что ни один пункт не отмечен.

    Собственно интересует, как этого избежать? Ладно учётка стала владельцем ПК, это понятно. А почему добавляются дополнительные права доступа. Предположим исключил я эту учетку из группы, которая может управлять учетными записями ПК. А права то уже добавлены. 

    Просто с той же учётной записью администратора домена никаких доп. прав на конкретную учетную запись пользователя не дописывается, даже владельцем становится не конкретная учетка пользователя, а группа.


    • Изменено Zigl 12 января 2014 г. 18:33
    12 января 2014 г. 18:31

Ответы

  • дык создали бы учетку левую под эти цели с правами только но добавление в домен. и раздавали бы ее направо налево - потом поменять на ней пароль и задизаблить учетку.
    • Предложено в качестве ответа Dmitriy Razbornov 18 января 2014 г. 9:06
    • Отменено предложение в качестве ответа ILYA [ sie ] SazonovModerator 18 января 2014 г. 9:25
    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 18 января 2014 г. 9:25
    • Помечено в качестве ответа Zigl 19 января 2014 г. 5:58
    17 января 2014 г. 16:47

Все ответы

  • Привет,

    А куда пользователей добавляют? Если они их довабляют в группу в которую сами находятся, то это нормально


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    13 января 2014 г. 14:18
    Модератор
  • Вы не про Владельца(Owner) говорите?

    при выполнении каких либо действий от имени администратора владельцем этих действий является вся группа Администраторов в целом

    By default, a new object's owner is the security principal identified as the default owner in the access token attached to the creating process. When an object is created, the SID stored in the access token's Owner field is copied to the security descriptor's Owner field. The default owner is normally an individual—the user who is currently logged on. The only exceptions occur when the user is a member of either the Administrators group or the Domain Admins group. In both cases, the Owner field in the user's access token contains the SID for the group, not the SID for the individual user account. The assumption is that administrative accounts are used only to administer the system and not for any individual purpose. As a result, objects created by one administrator can be managed by other administrators in the same group.

    http://technet.microsoft.com/en-us/library/cc961992.aspx

    кстати эта фишка с администраторами емнип тож отключалась

    13 января 2014 г. 14:57
  • Про администратора теперь понятно, спасибо.

    Постараюсь пояснить про что я спрашиваю. Есть группа, например, AddPCInDomain, которой разрешено в OU Computers создавать и удалять объекты Computers, т.е. вводить ПК в домен. В этой группе есть пользователь, например, Вася. Вот Вася ввёл ПК в домен. Создалась учетная записи ПК в OU Computers. Смотрим права на учётку этого ПК. Владелец Вася, что собственно понятно. В добавок к этому добавляется куча прав только к этому объекту для учетной записи Васи. На скриншоте можно это посмотреть.

    Мне интересно почему так происходит. Нормальное ли это поведение? Или можно как-то этого избежать, чтобы на учетки компьютеров не добавлялись прямые права для конкретных учеток пользователей?

    13 января 2014 г. 16:18
  • ну таки имхо похоже на правду,

    вводил в домен я так полагаю "К* А*ов", и вы хотитете чтобы эта учетка имела ровным счетом нихчего?

    Вы не рассматривали процедуру введения обьектов в AD заранее?

    13 января 2014 г. 20:43
  • Ага, вводил юзер "К* А*ов". А хотелось бы, чтобы юзер довольствовался наследуемыми правами, т.е. создание и удаление объектов компьютер.

    В общем, я так понимаю чтобы избавиться от таких прав мне нужно самому создавать учетки компьютеров, чтобы только я был владельцем, а другим пользователям через права на группу дать возможность создания и удаления объектов компьютер? Чтобы они могли связать реальный ПК с созданной учеткой в AD. 


    14 января 2014 г. 3:33
  • >я так понимаю чтобы избавиться от таких прав мне нужно ....

    Права такая штука, Zigl... Сейчас они есть, щелчок- и их нет. Их можно себе присвоить, или наделить ими другого. Надо четко цель  понимать, для чего Вам это нужно. DA все равно смогут переопределить Вашу выстроенную систему ценностей :)

    14 января 2014 г. 4:58
  • Дело в том, что DA это я )) 

    Просто у меня есть куча ещё других обязанностей кроме как AD. Здесь на работе 1500 ПК, а об домене и не слышали, была такая адская рабочая группа. Ввести все 1,5К ПК в домен одновременно и при этом одному не реально. Поэтому и наделил других "Васей" правом ввода компьютеров. Мне, например, не надо чтобы каждый Вася мог делать с этой учеткой ПК всё что ему вздумается. Просто ввёл и всё, на этом работа "Васи" закончена )

    14 января 2014 г. 6:29
  • Zigl, как успехи?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    17 января 2014 г. 7:56
    Модератор
  • успехи чего? вопрос о том как избежать того что задумано by design.

    тут максимум что можно посоветовать - пробежаться скриптом и вычистить левые аккаунты с пермишенов


    • Изменено Svolotch 17 января 2014 г. 13:06
    17 января 2014 г. 13:06
  • Petko Krushev, ничего не изменилось. Не было времени заниматься вопросом. Думаю, что придётся воспользоваться советом Svolotch, но только после того как все ПК будут введены в домен. Я так понимаю, что все эти права появляются из-за того, что пользователь создавший учётку ПК имеет меньше прав (через группы, в которых он состоит) на этот ПК, чем имеет владелец. Поэтому они и добавляются явно, но на пользователя. Хотя это ещё надо проверять.

    Как все ПК будут в домене можно будет и выпилить все левые права и владельцев, дать нужным людям права через группы безопасности. И вводить новые ПК уже самому.

    17 января 2014 г. 14:36
  • дык создали бы учетку левую под эти цели с правами только но добавление в домен. и раздавали бы ее направо налево - потом поменять на ней пароль и задизаблить учетку.
    • Предложено в качестве ответа Dmitriy Razbornov 18 января 2014 г. 9:06
    • Отменено предложение в качестве ответа ILYA [ sie ] SazonovModerator 18 января 2014 г. 9:25
    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 18 января 2014 г. 9:25
    • Помечено в качестве ответа Zigl 19 января 2014 г. 5:58
    17 января 2014 г. 16:47
  • Тоже вариант. Надо будет так сделать.
    • Предложено в качестве ответа Solovev A 18 января 2014 г. 9:08
    • Отменено предложение в качестве ответа Solovev A 18 января 2014 г. 9:08
    18 января 2014 г. 3:38
  • Смотрите правила, видимо что-то криво вписано при добавление групповых политик, или в AD в группе компов оттуда вычистите всё лишнее
    18 января 2014 г. 9:13