none
Windows Server 2012, пропали установленные сервисы RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Столкинулись с проблемой следующего характера. Уже третий раз за две недели просходит следующая ситуация - утром все приходят на работу, а один-два сервера (виртуальные машины с гостевой ОС WS2012/WS2012R2, на хостах стоит HYPER-V SERVER 2012 R2) в нерабочем состоянии, а именно - в группе локальных администраторов этих серверов в членах группы только встроенный админ, а доменные учетки удалены, у самого же локального админа при этом сменен пароль, но это еще не все - также удалены некоторые программы, службы и даже роли сервера (например удаленные рабочие столы). Машины приходится восстанавливать из бэкапа... В первый раз подумали что кто-то козлит (нашли в логах из-под какой учетки были удалены члены группы администраторов) - как итог, всем админам поменяли пароли, на серверах подчистили группу администраторов оставив по 2-3 (в редком случае по 5-6) человека, прошерстили группы админов домена и выше, даже поменяли пароль на доменную встроенную учетную запись Администратора, и вот опять та же самая ситуация.

    Какие есть идеи? Советы?

    12 июня 2017 г. 11:44

Ответы

  • Совет № 0 - не обижайте админов, они только на вид суровы и бородаты, а глубоко в душе крайне ранимы и обидчивы.

    Совет №1 Читайте логи, вы там уже нашли от какой учетки выполняются каверзные действия, но так же стоит понимать и откда эта учетка на сервер пришла, задачи, скрипты и пр. можно проверить при помощи Autoruns


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Alexander Dekhnik 21 июня 2017 г. 11:43
    12 июня 2017 г. 12:54
    Модератор

Все ответы

  • Совет № 0 - не обижайте админов, они только на вид суровы и бородаты, а глубоко в душе крайне ранимы и обидчивы.

    Совет №1 Читайте логи, вы там уже нашли от какой учетки выполняются каверзные действия, но так же стоит понимать и откда эта учетка на сервер пришла, задачи, скрипты и пр. можно проверить при помощи Autoruns


    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Alexander Dekhnik 21 июня 2017 г. 11:43
    12 июня 2017 г. 12:54
    Модератор
  • Vector BCO, за Autoruns спасибо, хоть ничего критичного и не показала, но думаю пригодится в дальнейшем, полезная штука.

    Антонов Антон, на вирусы еще не проверяли, но на серверах стоит антивирусное ПО, скриптов в планировщике нет, никакого ПО для удаленного управления тоже не замечено, в общем одна сплошная мистика.

    13 июня 2017 г. 3:23
  • Спасибо за совет №0, никакой мистики на самом деле, всего лишь человеческое желание насолить из последних сил, а жаль.
    21 июня 2017 г. 11:43