Domain users и административные шары: откуда взялся доступ???
 

Привет всем!

Столкнулся с серьезной проблемой, не знаю даже, с какой стороны искать решение... Есть один домен, с многочисленными контроллерами (два в офисе и по одному в каждом филлиале). Все контроллеры на Win 2003 Std Sp2 R2. Домен функционирует в 2003м режиме. На днях открыли новый филлиал, я туда решил поставить контроллер на Win 2008 R2. Вся схема прежняя, сменилась только версия ОС. На сервере установлены роли AD, DNS, DHCP, WSUS (пока что только установленные, но не настроенный), и бэкапы. Больше на сервере ничего нет. Репликация между ним и остальными проходит нормально. Суть проблемы в следующем: все пользователи, которые заходят в этом сайте на свои ПК имеют полный доступ ко всем админским шарам (C$, D$ и т.п.) любого сервера, клиента, кроме себя самого (при попытке зайти на \\MyComp\C$ требует пароль). В других филлиалах и офисе такой проблемы нет. Пользователи включены только в группу Domain Users. Что это может быть? Может есть какая-то особенность 2008го сервера? В гугле нарыл только одну ссылку с подобной проблемой, но решение в моей ситуации не подходит (там новые компьютеры были перемещены в другой юнит со своими политиками. У меня все компы в одном дефолтном юните).

т. е. могут зайти по пути \\КД\с$ и что-нибудь создать\удалить?

Именно! Первый раз попробовал - думал показалось или случайно галку сохранить пароль поставил, но потом проверил на разных компьютерах и под разными пользователями - одно и то же :(

В политиках безопасности Default Domain policy и Default Domain controller policy смотрели наличие криминала?

Хм, совсем забыл про эти остнастки.. В 2008м их почему-то нет, а в 2003м сейчас нашел подозрительную вещь - в разделе Restricted Groups создана группа Administrators (я так понимаю локальные админы), в которую включена в т.ч. группа Domain Users. Вероятно в этом и есть причина. Только не ясно три вещи:

1) Даже если пользователь включен в локальных админов, разве он может заходить на шары по сети?
2) Если ответ на п.1 - да, тогда почему он не может зайти сам на себя?
3) В последнее время я точно не делал такую настройку. Одно из двух - либо она сделана очень давно, но тогда бы проблема вылезла давно (или не вылезла бы сейчас), либо кто-то сделал ее недавно. Если так, как можно по журналам безопасности узнать, кто и когда? (в журналах события где-то за последнюю неделю должны быть).

1. Так у вас все пользователи были вкючены во все группы "администраторы", в том числе и на КД
3. Ищите событие в логе "Безопасность" за номером 5136 и класс изменяемого объекта groupPolicyContainer

На новом контроллере домена есть целый ряд событий с кодом 5136 и классом groupPolicyContainer, они появились в день установки контроллера домена, через несколько часов после его запуска. Доступа к нему тогда 100% никто не имел. Записи зарегистрированы с Security ID: Null SID. А есть ли какая-нибудь утилита, которая бы резолвила GUID объекта в его имя? Чтоб руками не искать?

Есть утилита adexplorer http://technet.microsoft.com/en-us/s.../bb963907.aspx - она может искать по GUID
Security ID - естественно обращайте внимание только на "человеческие"
Если имеется ввиду GUID политики - то узнать его можно в GPMC (стандартная оснастка для правки политик в server 2008)
PS: забыл уточнить копаться в логах вам нужно на всех КД домена. Так как политика могла быть изменена на любом из них

Спасибо за утилиту, отличная штука! :)

Человеческих Security ID там нет. А этот нулевой постоянно делал добавления/удаления в Defualt Domain Controllers Policy. В общем похоже это включение было сделано раньше.

Сейчас попробовал создать тестового пользователя в том же контейнере, что и пользователи проблемного филлиала, и вошел под ним на офисную машину. Попытался зайти на любой комп на C$ - запрашивает пароль, как и положено. Т.ч. похоже проблема все таки не в этом включении...

т. е. как я понял проблема остается? Пользователи по прежнему могут заходить на административные ресурсы?

Прошу прощения, поспешил писать ответ, репликация изменений долго проходила. Сейчас попробовал - все стало ок, кроме одного сервера. На него любой пользователь компании по прежнему может попасть. Это не контроллер домена. Возможно нужно еще выждать некоторое время.. В общем, понаблюдаю за ним, вечером отпишусь.

все ваши проблемы из-за политик безопасности и это при попытке зайти на \\MyComp\C$ требует пароль это только доказывает
у вас есть инстhументы для сравнения политик по умолчанию и текущих (secedit), а также результирющая политика

Цитата:

Цитата VladDV репликация изменений долго проходила. »

вы можете ускорять этот процесс ( replmon, gpupdate)

Спасибо. Не знал о существовании этого инструмента. Всегда пользовался только gpresultом, но его в таких случаях недостаточно. Вообще я эту политику настраивал давно, когда еще совсем мало опыта было. Видимо наделал некоторые ляпы. Пора ее пересмотреть :)

Это я знаю, просто говорю, поторопился и не учел, что изменения сделал в офисе, а проверял результат в филлиале (с впном с дома забываешь про расстояния :))) )

Теперь по поводу того сервера, на котором доступ остался. Это шлюз на исе. Выяснилось, что такая ситуация с двумя такими шлюзами именно там, где он не совмещен с контроллером. Видимо сама иса вносит какие-то изменения в политику безопасности. В каком направлении искать теперь понятно, дальше думаю разберусь. Всем спасибо!