none
Слетают настройки безопастности у объектов RRS feed

  • Общие обсуждения

  • в дочернем домене у некоторых учетных записей слетают настройка

    allow inheritable permissions from the parent to propagate to this object and all child objects. include these with entries explicitly defined here

    т.е. когда я ее выбираю.. то резе 30 минут она слетает обратно. из за этого часть функционала не работает. Подскажите в какую сторону начать капать?
    22 августа 2009 г. 9:29

Все ответы

  • На Вашем месте я включил бы аудит событий на данных объектах и посмотрел бы кто их меняет


    _________________
    22 августа 2009 г. 11:18
  • это я должен включить "Audit object access" ? в политике?
    22 августа 2009 г. 12:33
  • А что за учетки? Есть такой процесс на PDC, который (каждый час, кажется) замещает разрешения безопасности (DACL) у защищенных учетных записей (администратороы - в их числе) на эталонные. Это не Ваш случай? Если так, то эти разрешения (эталонные) списываются с "AdminSDHolder".

    Посмотрие также эту сатью: http://support.microsoft.com/?id=817433.

    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    22 августа 2009 г. 15:14
    Отвечающий
  • да. А потом в закладке Security этих пользователей надо указать, что нужно мониторить успехи изменения прав ото всех пользователей. Когда все это сделаете - в журнале безопасности можно будет посмотреть, кто что делал с этим объектом
    _________________
    22 августа 2009 г. 21:50
  • настройки слетают не у всех, только у части пользователей. как у простых так и у тех кто входит в Админы Домена.
    посмотрю только в понедельник.
    23 августа 2009 г. 9:30
  • 1. AdminSDHolder охраняет не только группу Administrators, список групп здесь - http://policelli.com/blog/?p=136
    2. Если пользователя убрать из защищаемой группы, его атрибут adminCount ошибочно остаётся равным 1.
    Пример борьбы с этим явлением - http://theessentialexchange.com/blogs/michael/archive/2008/10/22/admincount-adminsdholder-sdprop-and-you.aspx

    Если данных разъяснений не хватит, примеры можно нагуглить по "adminsdholder admincount"
    24 августа 2009 г. 21:11
    Отвечающий
  • Вы правы. Посмотрел учетные записи. у них было включено "adminCount=1" Хотя в самим группах защищенных их нету. сейчас почистил вручную, и буду смотреть.. слетят или нет настройки. мне помогла вот эта статья.. http://www.osp.ru/win2000/2007/05/4343399/
    25 августа 2009 г. 5:36
  • Event Type:	Success Audit
    Event Source:	Security
    Event Category:	Account Management 
    Event ID:	684
    Date:		25.08.2009
    Time:		10:25:59
    User:		NT AUTHORITY\ANONYMOUS LOGON
    Computer:	MSDC
    Description:
    Set ACLs of members in administrators groups:
     	Target Account Name:	USER1
     	Target Domain:		DC=ms,DC=mydomain,DC=org
     	Target Account ID:	MS\USER1
     	Caller User Name:	MSDC$
     	Caller Domain:		MS
     	Caller Logon ID:	(0x0,0x3E7)
     	Privileges:		-
    
    
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    
    
    
    
    
    Event Type:	Success Audit
    Event Source:	Security
    Event Category:	Account Management 
    Event ID:	642
    Date:		25.08.2009
    Time:		10:25:59
    User:		NT AUTHORITY\ANONYMOUS LOGON
    Computer:	MSDC
    Description:
    User Account Changed:
     	Target Account Name:	USER1
     	Target Domain:		MS
     	Target Account ID:	MS\USER1
     	Caller User Name:	MSDC$
     	Caller Domain:		MS
     	Caller Logon ID:	(0x0,0x3E7)
     	Privileges:		-
     Changed Attributes:
     	Sam Account Name:	-
     	Display Name:		-
     	User Principal Name:	-
     	Home Directory:		-
     	Home Drive:		-
     	Script Path:		-
     	Profile Path:		-
     	User Workstations:	-
     	Password Last Set:	-
     	Account Expires:	-
     	Primary Group ID:	-
     	AllowedToDelegateTo:	-
     	Old UAC Value:		-
     	New UAC Value:		-
     	User Account Control:	-
     	User Parameters:	-
     	Sid History:		-
     	Logon Hours:		-
    
    
    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
    
    
    вот такие события возникают.
    после чего сбрасываются настройки безопасности и выставляется "adminCount=1"
    как удалить учетные записи из этой группы ?
    25 августа 2009 г. 7:00
  • нашел.. что пользователь входит в группу, где в свою очередь группа входит в группу Операторы печати.. видно из за этого и скидываются права.. это значит надо из нее убирать всех?. иначе никак?
    25 августа 2009 г. 7:18

  • Да, либо на "AdminSDHolder" правьте DACL.

    P.S. А зачем этой группе привилегии операторов печати?



    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    25 августа 2009 г. 7:24
    Отвечающий
  • Да это не мой домен, так черт ногу сломит.. он же дочерний.. буду местных админов мучат. и убирать это безобразие
    25 августа 2009 г. 7:30