Sziasztok!
Van egy Windows Server 2008 R2 szerverrel kialakított tartomány.
Néhány felhasználó esetén szükség lenne arra, hogy tudjanak programokat telepíteni/frissíteni.
Minden felhasználó a Domain User csoportban van, ahova eredendően kerül is az újonnan felvett felhasználó. Azon usereknet, akiknek telepítenniük is kell, most betettük a Domain Admins csoportba is. Így a telepítés megy, viszont nem túl biztonságos megoldás.
Sajnos az nem megoldás, hogy a telepítés/frissítés alkalmával mindig előkerüljön egy megfelelő jogkörrel bíró adminisztrátor, aki elvégzi a műveletet. Ehhez túl sok az ilyen felhasználó, túl sok alkalmazásról van szó és ezen alkalmazások, valamint az általuk vezérelt különféle célhardverek tesztelése, hibakeresése az ő feladatuk.
Nem megoldható az sem, hogy ők kaphassanak fejenként még egy gépet, mert erre sem fizikai hely, sem anyagi keret nem áll rendelkezésre.
Milyen megoldást tudtok erre javasolni? Lehet, hogy ennél komplexebb a helyzet a háttérben, de úgy fogalmaznám, hogy a usereknek a Domain Users jogosultságon kívül "csak" telepíteniük kellene még tudniuk.
Hozzászólások
A kérdéses end-user gépen kell a local administrators group-ba tenni a sima domain user account-ját és akkor azon a gépen tud telepiteni (ill. minden mást is)
A domain admin-t meg sürgősen elvenni, mert az másra való :)
Ez most lehet, hogy hülye kérdés lesz, de ezt hogyan kell? :)
Computer management/local users and groups/groups/administrators és a membershez hozzáadod
Ezt kipróbáljuk, köszi!
Ebben az esetben viszont vigyazni kell, hogy arra a gepre se elotte, se utana ne lepjen be domain admin accal, kulonben a juzer is domain admint tud csinalni magabol rovid uton.
Bar ha mar odaadta, akkor mindegy. :)
Miert, illetve hogyan?
Ez engem is érdekelne.
Van ra tobbfele mod is, de nezzuk a (talan) legegyszerubbet es a legmokasabbat.
1.) az egyszeru: Vajon hogy tud bejelentkezni egy domain-es laptopra a juzer amikor epp nincs a halozaton (es nem eri el a DC-t)? Ugy, hogy a windows cache-eli a legutobb bejelentkezett n db (default 5) felhasznalo password hash-et. Amikor bejelentkezel domain admin-kent, a jelszavad belekerul a lokal cache-be, ahonnan a juzer (mivel admin joga van) ki tudja szedni, es ra tudja engedni a kedvenc 8 grafkartyas jelszotoro gepet. Key stretchinget nem hasznal, jo hardverrel meglepoen bonyolult jelszavakat is ki lehet porgetni hamar.
2.) a mokas: Windows-on a kernel a processzeit (threadjeit) nem uid/gid alapon azonositja, hanem access token-ekkel. Az access tokenek egy csomo hasznos dolgot tudnak, pl. letezik beloluk olyan, hogy delegation token. Ezzel egyfajta SSO-t lehet megvalositani, tehat egy delegation token-el egy processz tudja magat azonositani mas windows domain-es gepek fele (technikailag ehhez van hozzakotve a forwarded TGT). Innentol viszont ha megszerzed egy domain user egy delegation token-jet, meg tudod szemelyesiteni a domain-en. Ha tortenetesen domain admint sikerult, akkor nyertel (ha nem, akkor a megszerzett jogosultsaggal belepsz mas gepekre, es ott is megcsinalod ugyanezt, elobb-utobb talalni fogsz domain admint). Ehhez az kell, hogy a juzer hozzaferjen a delegation tokent tartalmazo processzhez, es legyen seImpersonate joga, adminkent mindketto teljesul.
Ez utobbirol egyebkent itt van egg eleg reszletes leiras.
--
"You're NOT paranoid, we really are out to get you!"
Ehhez semmi szükség local adminra, bebootolhat usb-ről másik rendszert, ugyanott tartana. Nem túl reális veszély és nem is olyan egyszerű. És természetesen group policy-ból tiltható a password cache.
Delegation token szintén nem egyszerű, azt maximum egy service-en találsz, de az igen ritka egy user gépen, domain admin accounttal hitelesitett local service-t meg épeszű ember nem használ, igy nem fog ilyen tokent találni a gépén.
"Ehhez semmi szükség local adminra, bebootolhat usb-ről másik rendszert, ugyanott tartana."
Vagy akkor mar csinalhat maganak local admint, ez a ketto ekvivalens.
"És természetesen group policy-ból tiltható a password cache."
Ja, de ha mar local admin az illeto, akkor ez csakis attol fugg, hogy kipatchelte-e az ellenorzest kodbol. De ez csak egy kenyelmes es egyszeru pelda volt, van meg ra eleg sok mas lehetoseg.
"Delegation token szintén nem egyszerű, azt maximum egy service-en találsz, de az igen ritka egy user gépen"
Ha valahova belepsz interaktivan, akkor ott lesz delegation token. Nyilvan ezt is le lehet tiltani, de nem igazan szoktak (==sosem lattunk meg olyan domaint, ahol megtettek volna).
--
"You're NOT paranoid, we really are out to get you!"
Ezek továbbra is nagyon erőltetett dolgok, nem túl életszerűek és nem is kötődnek ahhoz, hogy adtál-e local admin jogot, vagy beléptél-e utána domain adminnal. (főleg nem előtte)
Kényelmesnek és egyszerűnek nevezni meg már nagyon túlzás én leginkább sok sikert kivánok hozzá bármelyik usernek :)
Szia,
Bocs, ha hülye a kérdés,de ... Deployment megoldások erre nem lennének pont jók? ( SCCM pl, de van rengeteg third party megoldás is a témában :) )
Ilyenkor a usernek nem kell adminisztrátori jogosultság, és ellenőrízhető is, hogy mit telepítenek...
( A másik kérdésedre egy link: http://technet.microsoft.com/en-us/library/cc772524.aspx )
Üdv,
LuiseX
Szia!
Hát...ennyire nem vagyok ebben benne, passzolom :) A deployment megoldásról nekem egyelőre csak a távtelepítés jut eszembe, amikor is az adminisztrátor bizonyols alkalmazásokat bizonyos gépekre, csoportházirendből, valamilyen beállításokkal rátelepíttet. Ez nem jöhet szóba, van, hogy egy programot akár 6-8 telepítéskor megadott beállítással is fel kell telepíteni/el kell távolítani egy órán belül, így ez nem jöhet szóba.
Ha másra gondolnál, akkor sorry, nyitott vagyok a dologra, egy a lényeg, hogy sok féle program van, sok féle beállítási lehetőség közül lehet választani a telepítés során, attól is függ, most éppen milyen célhardver érkezett be a céghez, amit ki kell próbálni, vagy le kell tesztelni, esetleg korábbi verzióját telepíteni a programnak, szóval az, hogy egy rendszergazda jogkörű egyén felügyelje ezt bármilyen módon, semmiképpen sem lehetséges.
A linket köszi, megnézem!
Szia,
Többféleképpen lehet ezt megvalósítani :) Lehetséges, hogy a rendszergazda mindent felkonfigurált, és távolról küldi ki a felhasználónak, de megvalósítható úgy is, hogy a felhasználó választhat egy listából, és az általa kijelölt szoftver telepítője elindul, a megfelelő jogosultságokkal.
Sajnos elég mélyen én sem vagyok a témában hozzá ( Annak idején én is csak felhasználója voltam inkább, így elmélyülni nagyon nem tudtam benne sajnos ), de szerintem itt a hupon lehet találni kollégát biztosan, akinek leírod miképp is kellene, és irányba tesz :)
Esetleg ZS-terv gyanánt, ha bízol a felhasználóidban, végrehajtható egy apróbb , és talán biztonságosabb trükk:
- Az érintett gépeken készítesz egy admin usert (nem domainben, csak lokálisan! Domain user is lehetne, de valljuk be, az ilyen sohasem egészséges :))
- Powershell script, ami a korábban létrehozott user nevében futatt egy cmd-t/total commandert ( Explorerben nem vagyok biztos, hogy működne, mivel kicsit más állatfaj).
- A felhasználóid ezzel tudnak telepíteni. Így nem kell extra jogosultság nekik.
( Szükséges shellscript lemásolható innen: http://stackoverflow.com/questions/21758651/how-to-run-start-process-in… )
(A jelszó elfedésére, tudom ajánlani a PSExec nevű varázslatot. Trükkös felhasználók ellen nem feltétlenül véd, de legalább csak lokálisan felhasználható :) )
Másik megoldás, hogy deployolsz AD-ból valami kis admin felhasználót, ezt a "Run as..." context paranccsal tudják alkalmazni a felhasználók akár... ( Véletlenül se domain admint :) Ezen esetleg el tudsz indulni: http://community.spiceworks.com/topic/364775-create-a-local-admin-for-e… )
Remélem, sikerült legalább némi ötletet adnom :)
Üdv,
LuiseX
Szia!
Köszi, hát gondolatot, ötletet mot bőven kaptam, átrágjuk a dolgokat, jelentkezem majd, amint újabb kérdés, vagy fejlemény van.
Ezer köszönet!
Ha nem akarsz vele sokat baszakodni akkor csinálsz egy domain\localadmin nevűcsoportot a domainedbe, hozzá adod a usereket, majd gpo-val hozzá adod ezt a csoportot a gépek localhost\administrators csoportjához és kész.
Ezzel csak az a baj, hogy onnantól a user az összes gépen (amire a gpo vonatkozik) adminná válik, ami általában nem kivánatos. A saját gépén csináljon amit akar, de a többiekét hagyja békén.
Hogy mást ne emlitsek innentől a mezei user akármelyik kollégájának a gépén c$ -al ir/olvas minden file-t, illetve admin$-t eléri, bármit megtehet bármelyik gépen stb-stb. Nagyon nem egészséges.
Akkor a gpo-t csak arra a gepre tegye ki amire kell hogy vonatkozzon. Pl csinal egy localadmin-kovacsjgepe_SG abba teszi a felhasznalot/felhasznalokat es kovacsjgepere engedi ki. :) Igy mindenki a magan gepen lehet local rendszergazda.
gépenként egy gpo? Átlátható lesz :)
HA 300 gepbol 200-ra kell akkor nem. De ha 300-bol 10-re kell akkor igen. Nalunk pl serverek hozza ferese igy van szabalyozva van aki csak rdp-t, van aki local admint is kap.
Igen az én megoldásomnál lesz egy csoport aki szét tudja barmolni egymás gépét, nekem ez nem tűnik akkora résnek a pajzson, viszont kényelmes és gyors. Egyenként is hozzá lehet adni a usereket a localhost\Administrators grouphoz.
http://community.spiceworks.com/how_to/show/2123-add-an-active-director…
ha csak közzétenni szeretnél progikat winen:
http://www.itninja.com/blog/view/the-guide-to-deploying-software-using-…
érdemes elolvasni:
https://www.simple-talk.com/sysadmin/general/group-policy-software-depl…
Végigcsináltuk az első linket, szerintem erről beszéltetek ti is. Viszont az a user, akinek így a lokális telepítési jogot megadjuk, ki tudja léptetni a gépét a saját felhasználói nevével és jelszavával. Szerintem ez nem annyira jó dolog :) - viszont tud telepíteni (is) :)
Van ötletetek? Mindent úgy csináltunk, mint ezen a linken:
http://community.spiceworks.com/how_to/show/2123-add-an-active-director…
A local admin ki tudja léptetni a gépet by design. Igy tudod egy elromlott/megszűnt DC-ről (domainből) is kivenni a gépet, máshogy nem tudnád. De mást nem tud csinálni domain szinten, természetesen beléptetni sem tud gépet.
Mezei juzer is tud gepet beleptetni, alapbol 10-et, de allithato:)
Te valamit nagyon félre értettél :)
> By default, Windows 2000 allows authenticated users to join ten machine accounts to the domain.
http://support.microsoft.com/kb/243327
Igaz, ez Windows 2000, de 2003 R2-re frissitettunk es utana is mukodott.
Azota (ha jol ertettem) ez a feature mar nem default:)
sub
--
"The only valid measurement of code quality: WTFs/min"