Neden etki alanı denetleyicisinde oluşturulan kullanıcılar her zaman etki alanının bir parçasıdır?

10

Neden etki alanı denetleyicisinde oluşturulan kullanıcılar her zaman etki alanının bir parçasıdır?

Etki alanı denetleyicisinde yerel bir kullanıcı oluşturmak istediğimde net user <username> <password> /add, kullanıcının otomatik olarak Domain Usersgruba dahil edildiğini görüyorum .

Etki alanı denetleyicisine etkileşimli olarak oturum açabilen ve yönetim görevlerini gerçekleştirebilen etki alanının bir parçası değil, etki alanı denetleyicisinde bir yerel yönetici hesabı oluşturmak istiyorum.

Mümkün mü?

windows  active-directory 
Shuzheng
kaynak
2
Hayır. Mümkün değil.
joeqwerty

Yanıtlar:

3

Yerel hesaplar SAM veritabanı adı verilen bir dosyada depolanır . Bu bir etki alanı denetleyicisinde bulunur - bir etki alanı denetleyicisini geri yükleme modunda önyüklerseniz, bunu yapmak için kullandığınız hesap yalnızca SAM veritabanındaki yerel yönetici hesabıdır. Ancak Windows normal olarak çalışırken SAM veritabanına erişim devre dışı bırakılır ve içindeki hesapların hiçbiri kullanılamaz. Bu, etki alanı denetleyicisinde yerel bir hesapla oturum açmanın imkansız olduğu anlamına gelir.

Ancak, bir komut satırından çalışmaktan memnunsanız ve ağ erişimine gerek duymuyorsanız, bu bir şekilde yapılabilir. İşin püf noktası yerel sistem hesabı olarak oturum açmaktır. Windows bunu yapmak için herhangi bir yol sağlamaz, ancak basit bir telnet sunucusu yazıp yerel sistem hesabını kullanarak bir hizmet olarak çalıştırarak yaptım. Telnet sunucusuna bağlandığınızda, etki alanı hesabı değil sistem hesabı olarak oturum açmış olursunuz. Tek kısıtlama, yalnızca komut satırı olması ve sistem hesabının ağ erişimi olmamasıdır. Böyle bir hack kullanacaksanız, güvenlik konusunda çok, çok dikkatli olun!

Bütün bunlar korkunç bir kesmek gibi görünse de meşru kullanımları var. Örneğin iş yerinde, sunuculardaki bir konsola uzaktan erişime izin veren N-able adlı bir yönetim aracı kullanıyoruz ve temel olarak yukarıda tarif ettiğim tekniği kullanarak yapıyor. Etki alanı denetleyicilerimizden birinde bir konsol açar ve whoami komutunu kullanırsam :

resim açıklamasını buraya girin

dipnot

Windows'un uzak komut istemi açmak için yerleşik bir yöntemi yoktur, ancak bir açıklamada yerçekimi sözlerinden bahsedildiği gibi SysInternals psexec yardımcı programı bunu yapabilir ve SysInternals yardımcı programları Microsoft tarafından sağlanır ve desteklenir, bu en azından yarı resmi bir görevdir. Sunucularımdan birinde psexec kullanarak:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.
John Rennie
kaynak
SysInternals psexec -s'i yeniden icat ettiniz mi?
user1686
1
@grawity Ben ilk önce Windows NT 3.1 Sysinternals yardımcı programları var önce yaptı :-) Ancak iyi bir noktaya işaret. Psexec'in bunu yapabileceğini unutmuştum.
John Rennie
1
Alınan nokta. Umarım orijinal "geniş açık" telnetd artık kullanılmıyor mu?
user1686
23

Hayır, bu mümkün değil. Etki alanı denetleyicilerinin kendi kimlik doğrulama veritabanı yoktur. Bir Etki Alanı Denetleyicisi'ne yükseltildiğinde Active Directory ile değiştirilir.

uzun boyun
kaynak
2
Bu cevap "Bu mümkün mü?" soru gövdesinden, ancak başlıktan "neden" yanıt vermez. "Neden" bölümünde herhangi bir içgörü var mı?
MOLOT
8
Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controllernedeni budur. Bu nedenini cevaplıyor.
joeqwerty
4
@peterh Sadece Microsoft bunu neden bu şekilde tasarladıklarını biliyor olabilir, ancak bildiklerinden şüpheliyim. Teslimim sırasında "neden" sorularının çoğunu "Aklıma gelen ilk şey buydu, çünkü işe yaradı ve bundan sonra asla çalışan bir sistemi değiştirmedi."
Alexander
5
Dürüst olmak gerekirse, "Microsoft neden bu şekilde tasarladı?" soru, ben VTC olurdu. Sağlayacağımız herhangi bir cevap saf spekülasyon olacaktır (burada birisi 1999'da ish?
Katherine Villyard
2
O zamanlar Windows sunucusu için MS MVP'ydim ve "NT 5" beta ekibiyle bir şeyler yaptım ve tasarım kararlarının tartışıldığı birkaç toplantıya gittim. Bu durumda argüman, bir etki alanı denetleyicisinde "etki alanı" yönetici eylemi gibi bir şeyin olmadığı ve etki alanının etki etme potansiyeli olduğu şeklindeydi. DC'yi yeniden başlatmak ister misiniz? Rol eklemek veya kaldırmak ister misiniz? Ağ kartındaki DNS ayarlarını değiştirmek ister misiniz? Herkes potansiyel olarak bu DC'nin etki alanına hizmet etme yeteneğini etkileyebilir ve bu nedenle bir DC'deki gerçekten "yerel yönetici" işlemlerini gerçekleştiremez.
Rob Moir
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.