Domain user - telepítési jog - lehetséges?

Microsoft Windows

Sziasztok!

Van egy Windows Server 2008 R2 szerverrel kialakított tartomány.
Néhány felhasználó esetén szükség lenne arra, hogy tudjanak programokat telepíteni/frissíteni.
Minden felhasználó a Domain User csoportban van, ahova eredendően kerül is az újonnan felvett felhasználó. Azon usereknet, akiknek telepítenniük is kell, most betettük a Domain Admins csoportba is. Így a telepítés megy, viszont nem túl biztonságos megoldás.
Sajnos az nem megoldás, hogy a telepítés/frissítés alkalmával mindig előkerüljön egy megfelelő jogkörrel bíró adminisztrátor, aki elvégzi a műveletet. Ehhez túl sok az ilyen felhasználó, túl sok alkalmazásról van szó és ezen alkalmazások, valamint az általuk vezérelt különféle célhardverek tesztelése, hibakeresése az ő feladatuk.
Nem megoldható az sem, hogy ők kaphassanak fejenként még egy gépet, mert erre sem fizikai hely, sem anyagi keret nem áll rendelkezésre.

Milyen megoldást tudtok erre javasolni? Lehet, hogy ennél komplexebb a helyzet a háttérben, de úgy fogalmaznám, hogy a usereknek a Domain Users jogosultságon kívül "csak" telepíteniük kellene még tudniuk.

( Imo | 2014. 06. 15., v – 10:56 )

A kérdéses end-user gépen kell a local administrators group-ba tenni a sima domain user account-ját és akkor azon a gépen tud telepiteni (ill. minden mást is)
A domain admin-t meg sürgősen elvenni, mert az másra való :)

Van ra tobbfele mod is, de nezzuk a (talan) legegyszerubbet es a legmokasabbat.

1.) az egyszeru: Vajon hogy tud bejelentkezni egy domain-es laptopra a juzer amikor epp nincs a halozaton (es nem eri el a DC-t)? Ugy, hogy a windows cache-eli a legutobb bejelentkezett n db (default 5) felhasznalo password hash-et. Amikor bejelentkezel domain admin-kent, a jelszavad belekerul a lokal cache-be, ahonnan a juzer (mivel admin joga van) ki tudja szedni, es ra tudja engedni a kedvenc 8 grafkartyas jelszotoro gepet. Key stretchinget nem hasznal, jo hardverrel meglepoen bonyolult jelszavakat is ki lehet porgetni hamar.

2.) a mokas: Windows-on a kernel a processzeit (threadjeit) nem uid/gid alapon azonositja, hanem access token-ekkel. Az access tokenek egy csomo hasznos dolgot tudnak, pl. letezik beloluk olyan, hogy delegation token. Ezzel egyfajta SSO-t lehet megvalositani, tehat egy delegation token-el egy processz tudja magat azonositani mas windows domain-es gepek fele (technikailag ehhez van hozzakotve a forwarded TGT). Innentol viszont ha megszerzed egy domain user egy delegation token-jet, meg tudod szemelyesiteni a domain-en. Ha tortenetesen domain admint sikerult, akkor nyertel (ha nem, akkor a megszerzett jogosultsaggal belepsz mas gepekre, es ott is megcsinalod ugyanezt, elobb-utobb talalni fogsz domain admint). Ehhez az kell, hogy a juzer hozzaferjen a delegation tokent tartalmazo processzhez, es legyen seImpersonate joga, adminkent mindketto teljesul.
Ez utobbirol egyebkent itt van egg eleg reszletes leiras.

--
"You're NOT paranoid, we really are out to get you!"

Ehhez semmi szükség local adminra, bebootolhat usb-ről másik rendszert, ugyanott tartana. Nem túl reális veszély és nem is olyan egyszerű. És természetesen group policy-ból tiltható a password cache.

Delegation token szintén nem egyszerű, azt maximum egy service-en találsz, de az igen ritka egy user gépen, domain admin accounttal hitelesitett local service-t meg épeszű ember nem használ, igy nem fog ilyen tokent találni a gépén.

"Ehhez semmi szükség local adminra, bebootolhat usb-ről másik rendszert, ugyanott tartana."

Vagy akkor mar csinalhat maganak local admint, ez a ketto ekvivalens.

"És természetesen group policy-ból tiltható a password cache."

Ja, de ha mar local admin az illeto, akkor ez csakis attol fugg, hogy kipatchelte-e az ellenorzest kodbol. De ez csak egy kenyelmes es egyszeru pelda volt, van meg ra eleg sok mas lehetoseg.

"Delegation token szintén nem egyszerű, azt maximum egy service-en találsz, de az igen ritka egy user gépen"

Ha valahova belepsz interaktivan, akkor ott lesz delegation token. Nyilvan ezt is le lehet tiltani, de nem igazan szoktak (==sosem lattunk meg olyan domaint, ahol megtettek volna).

--
"You're NOT paranoid, we really are out to get you!"

Ezek továbbra is nagyon erőltetett dolgok, nem túl életszerűek és nem is kötődnek ahhoz, hogy adtál-e local admin jogot, vagy beléptél-e utána domain adminnal. (főleg nem előtte)

Kényelmesnek és egyszerűnek nevezni meg már nagyon túlzás én leginkább sok sikert kivánok hozzá bármelyik usernek :)

( luisex v | 2014. 06. 15., v – 11:47 )

Szia,
Bocs, ha hülye a kérdés,de ... Deployment megoldások erre nem lennének pont jók? ( SCCM pl, de van rengeteg third party megoldás is a témában :) )
Ilyenkor a usernek nem kell adminisztrátori jogosultság, és ellenőrízhető is, hogy mit telepítenek...
( A másik kérdésedre egy link: http://technet.microsoft.com/en-us/library/cc772524.aspx )
Üdv,
LuiseX

Szia!

Hát...ennyire nem vagyok ebben benne, passzolom :) A deployment megoldásról nekem egyelőre csak a távtelepítés jut eszembe, amikor is az adminisztrátor bizonyols alkalmazásokat bizonyos gépekre, csoportházirendből, valamilyen beállításokkal rátelepíttet. Ez nem jöhet szóba, van, hogy egy programot akár 6-8 telepítéskor megadott beállítással is fel kell telepíteni/el kell távolítani egy órán belül, így ez nem jöhet szóba.
Ha másra gondolnál, akkor sorry, nyitott vagyok a dologra, egy a lényeg, hogy sok féle program van, sok féle beállítási lehetőség közül lehet választani a telepítés során, attól is függ, most éppen milyen célhardver érkezett be a céghez, amit ki kell próbálni, vagy le kell tesztelni, esetleg korábbi verzióját telepíteni a programnak, szóval az, hogy egy rendszergazda jogkörű egyén felügyelje ezt bármilyen módon, semmiképpen sem lehetséges.
A linket köszi, megnézem!

Szia,
Többféleképpen lehet ezt megvalósítani :) Lehetséges, hogy a rendszergazda mindent felkonfigurált, és távolról küldi ki a felhasználónak, de megvalósítható úgy is, hogy a felhasználó választhat egy listából, és az általa kijelölt szoftver telepítője elindul, a megfelelő jogosultságokkal.
Sajnos elég mélyen én sem vagyok a témában hozzá ( Annak idején én is csak felhasználója voltam inkább, így elmélyülni nagyon nem tudtam benne sajnos ), de szerintem itt a hupon lehet találni kollégát biztosan, akinek leírod miképp is kellene, és irányba tesz :)

Esetleg ZS-terv gyanánt, ha bízol a felhasználóidban, végrehajtható egy apróbb , és talán biztonságosabb trükk:
- Az érintett gépeken készítesz egy admin usert (nem domainben, csak lokálisan! Domain user is lehetne, de valljuk be, az ilyen sohasem egészséges :))
- Powershell script, ami a korábban létrehozott user nevében futatt egy cmd-t/total commandert ( Explorerben nem vagyok biztos, hogy működne, mivel kicsit más állatfaj).
- A felhasználóid ezzel tudnak telepíteni. Így nem kell extra jogosultság nekik.
( Szükséges shellscript lemásolható innen: http://stackoverflow.com/questions/21758651/how-to-run-start-process-in… )
(A jelszó elfedésére, tudom ajánlani a PSExec nevű varázslatot. Trükkös felhasználók ellen nem feltétlenül véd, de legalább csak lokálisan felhasználható :) )

Másik megoldás, hogy deployolsz AD-ból valami kis admin felhasználót, ezt a "Run as..." context paranccsal tudják alkalmazni a felhasználók akár... ( Véletlenül se domain admint :) Ezen esetleg el tudsz indulni: http://community.spiceworks.com/topic/364775-create-a-local-admin-for-e… )

Remélem, sikerült legalább némi ötletet adnom :)
Üdv,
LuiseX

( kallo | 2014. 06. 15., v – 14:36 )

Ha nem akarsz vele sokat baszakodni akkor csinálsz egy domain\localadmin nevűcsoportot a domainedbe, hozzá adod a usereket, majd gpo-val hozzá adod ezt a csoportot a gépek localhost\administrators csoportjához és kész.

Ezzel csak az a baj, hogy onnantól a user az összes gépen (amire a gpo vonatkozik) adminná válik, ami általában nem kivánatos. A saját gépén csináljon amit akar, de a többiekét hagyja békén.

Hogy mást ne emlitsek innentől a mezei user akármelyik kollégájának a gépén c$ -al ir/olvas minden file-t, illetve admin$-t eléri, bármit megtehet bármelyik gépen stb-stb. Nagyon nem egészséges.

Végigcsináltuk az első linket, szerintem erről beszéltetek ti is. Viszont az a user, akinek így a lokális telepítési jogot megadjuk, ki tudja léptetni a gépét a saját felhasználói nevével és jelszavával. Szerintem ez nem annyira jó dolog :) - viszont tud telepíteni (is) :)
Van ötletetek? Mindent úgy csináltunk, mint ezen a linken:

http://community.spiceworks.com/how_to/show/2123-add-an-active-director…

( wlaszi | 2014. 06. 17., k – 20:22 )

sub
--
"The only valid measurement of code quality: WTFs/min"