четверг, 31 августа 2006 г.

Скрываем учётную запись из Active Directory

Как сделать «дверь» и запрятать  учётную   запись  в домене которая будет иметь полные права, логиниться, блокировать и разблокировать любого пользователя, менять все доступные в системе атрибуты, но при этом будет не доступна никому кроме Вас.
Речь пойдет о  active   directory .

Сразу скажу изначально надо иметь права администратора для создания и манипуляций с учетной записью.

Теперь по пунктам:
Перезаходим под учетной записью. Переходим в оснастку редактирования adsi.cmd > adciedit.msc. Ищем себя в созданном OU. Ставим owner’a себя. Снимаем наследование, копируем атрибуты. Удаляем все, кроме себя, назначаем себе полные права.Создаем в Program Data (его не видно нигде кроме как в adsi и подобных утилитах) контейнер Install для скрытия скрытия учетной записи и групп.Перемешаем OU своей учетно записи (move) в Program Data > Install.Назначаем опять права, при перемещении они обычно перезаписываются. не забываем назначить права контейнеру Install. Все это приведет к тому что нас даже не смогут увидеть не  в   active   directory  не в adsi, тем более что либо переназначить. Меняем Имя группы нашей Enterprise Admins через ADUC в опять же что-то схожее со существующими записями например Domain Security, пишим про информацию.Теперь создаем подменную Enterprise Admins. Вносим её в наш Domain Security.Перемещаем Domain Security в Program Data > Install. Делаем манипуляции с правами.Получается что спрятать до конца членство не удалось (но можно сделать цепь). Но при попытке удалить из членов группы, будет появляться ошибка «There is no such object on server».делаем все тоже самое с Remote Desktop Users.Видео как это сделатьЧто мы в итоге имеем:Есть еще хитрость и злая вещь.При создании учетной записи можно её не делать, а переименовать учетную запись  Administrator, вместо него создать другую  учетную запись  с таким же именем.Таким образом мы будем иметь  учетную   запись  с SID-*500, которую нельзя будет убить, Windows не даст. В видео я забыл инфу вбивать в группы которые должны быть на виду, думаю догадаетесь сами что да как.) + для выполнения этой операции с группами, Доменный контролер должен быть в Основном режиме Windows 2000 или 2003. Смешанный режим просто не позволит этого сделать.

 1. Создаем  учетную   запись . Называем ее очень похожей на какую нибудь учетную запись от Mail Server или Exchange Server. Мы возьмем IBUP и блаблабла. Делаем ей подменное имя. не забыть поставить «пароль никогда не истекает» и прочее по своему усмотрению. Включаем запись  в необходимые нам группы, достаточно для контроля над домена Remote Desktop Users (или то что указано в tcp-rdp), Enterprise Admins.
2.Важно заметить что один косяк в наших действиях и мы потеряем права и поможет только бэкап.)
 3. Теперь прячем все наши ранее созданные группы следующим образом:


Домен работает как надо, группа существует, права у нее настроены правильно.Зато есть учётная  запись  которая никому не видна, из любых обзоров. Видно только непонятный контейнер.
Не видно в каких группах состоит сделанная нами учётная  запись .

Дополнение: как работать с SDHolder:
 http://blog.joeware.net/2009/09/08/1693/

https://technet.microsoft.com/en-us/magazine/2009.09.sdadminholder.aspx

Комментариев нет:

Отправить комментарий