none
Атрибут "ms-DS-CreatorSID" пуст - <No Set>. Почему? RRS feed

  • Вопрос

  • Здравствуйте! Задался вопросом, узнать хозяина недавно введённого компьютера в AD. Узнал про параметр ms-DS-CreatorSID, в котором должен быть прописан SID пользователя, добавившего компьютер (http://www.itcommunity.ru/blogs/sie-wl/archive/2011/01/29/145787.aspx , http://support.microsoft.com/kb/243327 ) . Открываю оснастку ADSI Edit и обнаруживаю, что у всех компьютера, этот параметн пуст, т.е. со значением <No Set>. Почему так?  Домен Windows Server 2003. Forest functional level = Windows Server 2003. Может какие то дополнительные действия необходимо произвести, что бы в данный параметр вносились необходимые значение?

    1 июня 2011 г. 10:58

Ответы

Все ответы

  • Полагаю это значит, методом исключения, что компьютер вводил в домен тот, кому права явно были делегированы (из статьи)

    http://www.itcommunity.ru/blogs/sie-wl/archive/2011/01/29/145787.aspx

    1. Предварительное создание администратором учетных записей компьютеров

    2. Делегирование права на создание учетных записей компьютеров в контейнере Computers нужным пользователям

    3. Увеличение квоты по умолчанию равной 10-ти установкой нового значения атрибута ms-DS-MachineAccountQuota в Active Directory

    • Помечено в качестве ответа Раймонд 3 июня 2011 г. 5:04
    1 июня 2011 г. 11:22
    Отвечающий
  • Похожий вопрос:

    http://social.technet.microsoft.com/Forums/fi-FI/winserverDS/thread/d7a1dd2e-c8bd-4d36-9c01-c18766b3c4ec

    Т.о. данный атрибут не устанавливается если:

    - аккаунт компьютера предварительно создавался в консоли ADU&C

    - ввод машины в домен осуществлял администратор домена

    • Помечено в качестве ответа Раймонд 3 июня 2011 г. 5:04
    1 июня 2011 г. 11:28
  • Дело в том, что в целях безопасности и ограничение числа пользователей, котором можно вводить ПК в домен, значение параметра ms-DS-MachineAccountQuota изменена с 10 на 0. И теперь как сказано в книге:

    " By default, the Enterprise Admins, Domain Admins, Administrators, and Account Operators groups have permission to create computer objects in any new OU. "

    Т.о. вводить в домен ПК могут только привилегированные пользователи, т.е. только администраторы. И теперь у меня встала задача, выявить при необходимости, а кто из администраторов вводил тот или иной компьютер, так как число администраторов домена (предприятия) более 2х.

    Кто-нибудь знает, как это реализовать не изменяя при этом параметр ms-DS-MachineAccountQuota?

  • Дело в том, что в целях безопасности и ограничение числа пользователей, котором можно вводить ПК в домен, значение параметра ms-DS-MachineAccountQuota изменена с 10 на 0. И теперь как сказано в книге:

    " By default, the Enterprise Admins, Domain Admins, Administrators, and Account Operators groups have permission to create computer objects in any new OU. "

    Т.о. вводить в домен ПК могут только привилегированные пользователи, т.е. только администраторы. И теперь у меня встала задача, выявить при необходимости, а кто из администраторов вводил тот или иной компьютер, так как число администраторов домена (предприятия) более 2х.

    Кто-нибудь знает, как это реализовать не изменяя при этом параметр ms-DS-MachineAccountQuota?


    Ва нужно настраивать аудит управления учетными записями на контроллерах домена. После этого отслеживать в логах security события на контроллерах домена, помимо всего прочего в этих событиях будет содержаться информация о том, кто создал УЗ
    Отвечающий
  • Лишний аудит как то не хочется. А неужели нельзя задействовать специально предназначенный для этого атрибут ms-DS-CreatorSID? Тем более, для аудита требуются дополнительные действия (архивация..). А хочется, что бы по атрибуту ms-DS-CreatorSID любого ПК можно было определить пользователя.
  • Лишний аудит как то не хочется. А неужели нельзя задействовать специально предназначенный для этого атрибут ms-DS-CreatorSID? Тем более, для аудита требуются дополнительные действия (архивация..). А хочется, что бы по атрибуту ms-DS-CreatorSID любого ПК можно было определить пользователя.


    Этот аттрибут предназначен не для аудита, а для подсчета компьютеров, которые пользователь включил в домен.

    Собственно это по ссылкам, которые вы привели и написано.

    Я же вам советую включить аудит, который, судя по постановке задачи вам и нужен.

    Отвечающий
  • Возможно будет полезно настроить триггер на событие аудита? Тогда отпадает необходимость архива логов (только для данной задачи)

    http://technet.microsoft.com/en-us/library/bb490901.aspx

     


    • Помечено в качестве ответа Раймонд 3 июня 2011 г. 5:04
  • Возможно будет полезно настроить триггер на событие аудита? Тогда отпадает необходимость архива логов (только для данной задачи)

    http://technet.microsoft.com/en-us/library/bb490901.aspx

     



    Спасибо! Попробую реализовать. Просто контроллеров домена много (относительно) а централизованного сборщика событий нет.