Автор Тема: SambaDC / Дать права администратора пользователю [решено]  (Прочитано 7714 раз)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
Всем привет!
В какую группу нужно добавить пользователя, чтобы я мог от его имени выполнять запуск приложений с правами администратора на системах Windows (ПКМ -> Запуск от имени администратора) ?
Создал пользователя, добавил его во все группы, в которых состоит Administrator, но всё равно не могу запускать приложения с правами администратора от имени этого пользователя.
Смысл в том, что мне нужно создать учётную запись, которая могла бы выполнять установку/удаление программ, большее не требуется. При этом давать пользователю данные учётной записи Administrator не хочется.
Подскажите правильный вариант.
Заранее спасибо.
« Последнее редактирование: 14.09.2019 20:21:16 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
В общем какая-то чертовщина творится...

Первый вариант.
Выполняю на сервере:
samba-tool user create testadmin1Сразу же делаю:
samba-tool group addmembers 'Domain Admins' testadmin1Затем иду на клиента с Windows 8.1, захожу в систему с другой учётной записью (ограниченной), пробую там запустить что-то с правами администратора, появляется окно UAC с запросом логина и пароля, ввожу данные учётной записи testadmin1. Приложение с правами администратора запускается, то есть всё хорошо.

Второй вариант.
Создаю пользователя:
samba-tool user create testadmin2Затем сразу иду на клиента с Windows 8.1 и проделываю вышеописанные действия, только использую для повышения прав данные учётной записи testadmin2. Естественно повысить их у меня не получается, тогда я снова возвращаюсь на сервер и делаю:
samba-tool group addmembers 'Domain Admins' testadmin2Возвращаюсь на клиента, перезагружаю его на всякий случай, пытаюсь повысить права за счёт testadmin2 и не могу. И вот чтобы я не пытался сделать, в какие бы группы ни пробовал добавлять пользователя, ничего не получается.

Ну и чего я совсем не ожидал.
Создал как описано выше пользователя с правами администратора и потом решил его удалить, на клиенте даже зачистил его каталог в C:\Users, но что удивительно, он до сих пор может получить права администратора! Удивительно - пользователя нет, но он беспрепятственно может запускать приложения с правами администратора! При этом DC доступен! Это как так ?!

В общем я ничего не понял...
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
Первый вариант.
Теперь не могу снять права администратора с пользователя testadmin1 - убираю его из группы Domain Admins, пробую повысить права от его имени - пожалуйста!
Кто-то может объяснить почему так ?
Привести клиента в чувство помогает только если войти под учётной записью testadmin1 локально, тогда что-то там происходит в его профиле и права администратора сбрасываются.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
В общем Windows 8.1 где-то усиленно кеширует данные авторизации и даже, если я изменяю пароль пользователя или отключаю его в оснастке Users and Computers, то он всё равно запускает командую строку с правами администратора со старым паролем и когда пользователь отключен.
Это какая-то брешь в безопасности...
При этом хочу ещё раз подчеркнуть, что DC доступен, то есть я не могу понять, почему он берёт данные с кеша, когда доступен DC.
При этом я не хочу совсем отключать возможность кеширования данных авторизации через GPO.
« Последнее редактирование: 14.09.2019 09:54:05 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
Ну вот только ограничив количество кэшируемых данных для учётных записей до 1, удалось достичь более менее желаемого результата.
Но вообще странно, почему Windows считывает кэш, когда доступен DC, очень странно.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 011
    • Email
Оставлю тут пару ссылок, думаю будет познавательно, как и мне сейчас:
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/interactive-logon-number-of-previous-logons-to-cache-in-case-domain-controller-is-not-available
https://webactivedirectory.com/2011/06/09/windows-active-directory-cached-user-credentials/

Подытожу.
Чтобы дать права администратора пользователю, добавляем его в группу Domain Admins.
Для ограничения на кэшируемые данные пользователей правим политику Interactive logon: Number of previous logons to cache (in case domain controller is not available) и устанавливаем для неё значение равное 1.
Если в сеансе непривилегированного пользователя потребуется повысить права с вводом логина и пароля привилегированного пользователя, то после ввода пароля администратора и завершения работ по установке/удалению и т.д., не забыть заблокировать экран и ввести пароль ограниченного пользователя, чтобы не оставлять в кэше данные пользователя из группы Domain Admins.

[решено]
« Последнее редактирование: 14.09.2019 20:24:03 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)