Проверка локальных администраторов на машинах в домене
Утилита, которая обходит все машины в домене, собирая информацию о том, кто находится в локальных администраторах, сравнивает полученный список с заданным шаблоном и выдает список соответствий шаблону.
Красным выделены те машины в домене, в локальных администраторах которых есть пользователи, которых нет в заданном Вами шаблоне (Domain Admins, Администратор, домен\группа). Для работы необходимо входить в группу локальных администраторов на проверяемых машинах. Утилита была бы удобна для начинающих администраторов, для проверки своей сети или же для плановых проверок - проверять, не нашелся ли "умник" в сети. Текущая версия: 2.3.7 Возможности: * Многопоточное сканирование (примерно 0.3 сек/машина); * Сканирование по заданному IP диапазону; * Сканирование домена, которому принадлежит компьютер; * Выборочное сканирование машин по вручную вводимому списку * Сканирование своей подсети (*.*.*.1-*.*.*.255); * Шаблонные записи администраторов для быстрого заполнения шаблонной таблицы. * Сохранение шаблонов администраторов, имени и пароля для подключения, диапазона IP для последующего запуска программы * Подсветка записей различными цветами для наглядного отображения процесса сканирования. * Экспорт результатов сканирования в Excel * Возможность удаленно изменить пароль локальному пользователю, а также включить/отключить учетную запись. * Возможность удаленно удалить локального пользователя из группы "Администраторы"/"Administrators" * Возможность управлять доменными учетными записями и группами в группе администраторов. ** Добавлена английская локализация. Выбор языка автоматический в зависимости от языка ОС. ** Добавлена возможность добавлять произвольный список имен машин (ПКМ на окне "отдельные машины") Правила использования: 1. Вводим имя и пароль пользователя, предположительно обладающего правами администратора на удаленных машинах. Как правило, это пользователь, принадлежащий доменной глобальной группе Администраторы домена (Domain Admins). Имя вводится БЕЗ указания домена, т.е. просто user, administrator и т.д. 2. Заполняем шаблон администраторов. В конечном итоге шаблон должен выглядеть так, как выглядят записи при просмотре через проводник списка пользователей группы Администраторы, а именно: 2.1 Доменные пользователи и группы должны быть указаны с префиксом домена, т.е. domain\ОИТ, domain\Администраторы домена. 2.2 Локальные администраторы указываются без указания префикса, т.к. на каждой машине свой префикс. Т.е. локальные пользователи должны записываться как Администратор, Вова, Саша и т.д. Для добавления пользователей можно использовать быстрый набор, т.е. нажать на имя домена слева от поля, введется фраза domain\, затем нажать на шаблонное слово, и кнопку Добавить. В итоге добавится запись, например domain\Администраторы домена. 3. Выбираем вариант сканирования. 3.1 Моя подсеть - при нажатии вычисляется текущий адрес компьютера, выставляется диапазон от 1 до 255 и подставляется в текстовые поля. 3.2 Произвольный диапазон IP адресов. Можно указывать адреса как от 1 до 255, так и большие диапазоны (192.168.1.0-192.168.5.255). Не рекомендую вводить диапазоны типа от 1.1.1.0 до 192.168.1.255 - устанете ждать, пока сформируется такой огромный список :) 3.3 Весь домен. Тут все просто - сам сформируется список, останется только нажать "Начать сканирование". После окончания сканирования жмем "Закрыть" - открывается дерево отсканированных машин. Красным выделены те станции, в которых есть "левые" администраторы. При выборе компьютера справа отобразится подробный список данных. Нелегальный администратор будет подсвечен красным цветом. Ссылки на скачивание: 1. Мой сайт 2. soft.oszone.net Скриншоты и последняя версия в первую очередь появляются на моем сайте. |
Программа интересная и наверняка будет востребована. Предлагаю в ней добавить не только проверку на локальных администраторов, но и проверку на вхождение в группы "Опытные пользователи" и "Гости".
|
Цитата:
было бы классно, если она ещё позволяла менять состав локальных групп (конечно можно через GPO, но это не интересно) |
Цитата:
|
Цитата:
|
круто. и каким образом мы можем получить эту прогу?:)
|
Мне бы было очень кстати...Конечно нужна!!!!! Как она будет распространяться, Free или нет?
|
dionis12006, конечно будет бесплатная - единственное, что все полученные пароли при сканировании будут отправляться на сервер в Интернет (без подключения к Интернету и без доступа к сайту программа работать не будет) для анализа и сбора статистики. ))))
|
Цитата:
|
xoxmodav, хорош народ пугать страшилками :) Нет, пароли, само собой никуда отправляться не будут и они не сканируются, NTLM шифрование мне разобрать не под силам :) ПРограммка будет бесплатной, как только доведу до ума, выложу сюда. Пока кидайте предложения, если они есть, попробуем реализовать.
Цитата:
|
Цитата:
Цитата:
Цитата:
На скрине тока названия компов, хорошо бы что бы она ещё и описания выводила. Но тут есть один момент, в 2008\7-ке нет поля "описание" в "сетевом окружении". Если эта программа будет выводить "описания" при запуске её на 2008/7-ке - это будет вообще бесценно. |
Цитата:
|
Цитата:
Если прога сможет делать - я её перепродам нашему начальству. Ты в доле :) Дальше. Смотреть то на описание - это хорошо. А вот если б менять его на лету? У нас у многих компов описание не соответствует сотруднику :( У меня ещё много капризов :) |
exo, есть скрипт, который заносит в описание, описание из АД
|
spkvvs, где ??? как называется ??? ведь я могу же его в GPO засунуть?
вопрос в другом - у простых пользователей нет прав на изменение "описания", может та же GPO даст им это право? |
exo, поищи тут
http://sysadmins.ru/topic79925.html |
|
Цитата:
|
Обновил шапку и выложил программку. Для работы требуется .Net Framework 2.0.
|
что-то у меня не совпадает со скриншотом в шапке, нет кнопки сервис, и как настроить шаблон ?
Пы.Сы. моя ОС 2008 R2 x64 |
Навести мышку на шаблон и прочитать подсказку :)
Пишем имя локального администратора, как правило это Администратор, затем доменную группу в формате domain\group. Жмем добавить по каждой записи и потом Сохранить. Вводим в поле имя и пароль пользователя и далее Файл - сканировать. |
Delirium,
Откуда берется список компьютеров? Узнал много интересного о своих машинах ))) Сделать бы, чтобы окно поиска не висело поверх всех окон. В остальном - отлично! |
Цитата:
Delirium, вот как утром запустил, так и думает :) Осталось: 377 Обработано: 543 Цитата:
|
Цитата:
Цитата:
Цитата:
Как только разгребусь на работе и напишу утилитку лично для xoxmodav, доделаю эту утилитку до конца. P.S. Удивлен, почему подобный функционал не реализовал MS в своих продуктах, вещь то довольно простая но нужная. Цитата:
P.P.S. Я все утилиты стараюсь писать на разные темы не только потому, что я такой альтруист и хочу всем помочь(но и это тоже), а просто потому, что изучаю C# и хочу охватить побольше областей для его применения :) Учусь, стараясь делать полезное :) Жаль, пока единомышленников не нашел и никто не поддерживает :( :) |
Цитата:
Цитата:
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
|
exo, допроверялся твой домен? Ты не пробовал почистить AD, если при живых 400 машинах у тебя 900 записей? :)
|
|
Произвел последние обновления. Файл в шапке обновил, описание изменений тоже в шапке. Заканчиваем с этой утилиткой :)
|
|
|
Цитата:
Т.е. нажал - вывел без сканирования. Цитата:
|
Цитата:
Цитата:
Сканирование можно прервать, на экране отобразится уже собранная информация, она не исчезнет никуда. Ну и само собой, без задания шаблона нет смысла запускать сканирование, тут же вся мулька как раз в подсвечивании проблемных машин, чтобы их можно было оперативно просмотреть :) |
Было бы не полохо включить в код обработчик ошибок. В вашем случае программа тратит ненужное время на проверку несуществующих компьютеров.
Я использовал для этой задачи следующий код (и обработку того, что выдает функция pingstatus) Т.е скрипт (vbs) пинговал компьютер, перед тем как проверить админов и записывал в лог ошибку - работает раз в 10 быстрее, чем без проверки On Error Resume Next strWorkstation = "." Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strWorkstation & "\root\cimv2") Set colPings = objWMIService.ExecQuery("SELECT * FROM Win32_PingStatus WHERE Address = '" & strComputer & "'") For Each objPing in colPings Select Case objPing.StatusCode Case 0 PingStatus = "Success" Case 11001 PingStatus = "Status code 11001 - Buffer Too Small" Case 11002 PingStatus = "Status code 11002 - Destination Net Unreachable" Case 11003 PingStatus = "Status code 11003 - Destination Host Unreachable" Case 11004 PingStatus = "Status code 11004 - Destination Protocol Unreachable" Case 11005 PingStatus = "Status code 11005 - Destination Port Unreachable" Case 11006 PingStatus = "Status code 11006 - No Resources" Case 11007 PingStatus = "Status code 11007 - Bad Option" Case 11008 PingStatus = "Status code 11008 - Hardware Error" Case 11009 PingStatus = "Status code 11009 - Packet Too Big" Case 11010 PingStatus = "Status code 11010 - Request Timed Out" Case 11011 PingStatus = "Status code 11011 - Bad Request" Case 11012 PingStatus = "Status code 11012 - Bad Route" Case 11013 PingStatus = "Status code 11013 - TimeToLive Expired Transit" Case 11014 PingStatus = "Status code 11014 - TimeToLive Expired Reassembly" Case 11015 PingStatus = "Status code 11015 - Parameter Problem" Case 11016 PingStatus = "Status code 11016 - Source Quench" Case 11017 PingStatus = "Status code 11017 - Option Too Big" Case 11018 PingStatus = "Status code 11018 - Bad Destination" Case 11032 PingStatus = "Status code 11032 - Negotiating IPSEC" Case 11050 PingStatus = "Status code 11050 - General Failure" Case Else PingStatus = "Status code " & objPing.StatusCode & " - Unable to determine cause of failure." End Select Next |
Цитата:
Цитата:
|
ребята... проверять пингом наличие машины - это не серьёзно...
|
Цитата:
Ваши предложения, касаемо функционала утилиты |
exo, IP можно получить двумя путями - непосредственно пинг или же запрашивать адрес у DNS сервера наподобие Nslookup. Если простой пинг не прошел, и DNS не знает такого имени, это говорит о недоступности машины или же о устаревшей записи в AD. Так что способ вполне верный.
|
Цитата:
Цитата:
ДНС я думаю стоит опустить, ибо резолв будет в 90 %, при этом не будет пинга - как быть ?! помню тут тема была одна, автор утверждал, что браузер прежде чем загрузить контент сайта, сначала пингует его... Цитата:
|
exo, начнем с того, что в нормальной сети администратор домена имеет полные права доступа куда угодно, включая и пинг машин. Утилита предназначена для администраторов и нормальной сети. Если по каким то причинам ping закрыт или dns не работает, это не повод наворачивать десятки проверок на доступность машины. Админу машина во включенном состоянии должна быть доступна всегда, иначе как решать проблемы, если сам себе все перекроешь :)
Цитата:
И вообще, разговор пошел оффтоп. Если есть предложения/замечания/недочеты, прошу изложить. Если нет, то не стоит разводить холивары. |
Цитата:
Цитата:
Цитата:
И так. ввёл в шаблон Administrator, Администратор и MyDomain\Domain Admins. Проверил свою тачку - всё ок, открыл информацию. по какому-то компу рядовому.. и он пишет: Локальные пользователи: и понеслось перечисление ВСЕХ доменных учёток... Это как так получилось? Есть вероятность, что это кеш из сканирования первой программы? вопрос номер два: А можно выводить список только несоответствий ? |
Цитата:
Цитата:
Цитата:
|
Дошли таки руки до утилиты. При сканировании выдало следующее:
Вопросы: - почему у меня почти все компы оказались красные, хотя на них в локальных админах прописаны "правильные" пользователи - как и в шаблоне? - компьютеры в списке, не выделенные красным, не имеют никакой информации - что это означает? они были выключены? с них не была получена информация о составе групп? не хватает прав для получения инфы? - что за раздел "Неизвестные записи", какие учётные записи ПК туда попадают? Предложения: - переименовать "Детальные данные по выбранному клиенту" в "Детальные данные по выбранному компьютеру"/"Детальные данные по выбранной рабочей станции" - расширить окно с деревом сканируемых компьютеров, чтобы в него влезала полностью надпись "Неизвестные записи", а в идеале - сделать его масштабируемым (не у всех же короткие имена компьютеров в сети) - изменить значок для компьютеров, которые не ответили своевременно на запрос, чтобы было понятно - что с ними нет так (сделать значки серыми или чёрным экран монитора на иконке) - по аналогии сделать уникальный значок для компьютеров, IP-адрес которых не удалось получить (красный монитор) - сделать окно утилиты доступным для изменения размера, но при этом задать константой его минимальный размер - реализовать простейшие логи для каждого компа, хранящие дату и время проведения проверок данного ПК (чтобы можно было вычислить промежуток времени, в который произошли изменения) - разнести поясняющие области "Данные для подключения" и "Настройка шаблона администраторов" в соответствии со вложенными элементами - переименовать "Настройка шаблона администраторов" в "Шаблон проверки локальных администраторов" - хорошо было бы реализовать возможность добавления имён групп в шаблон, выбирая прямо из AD, но это наверное уже "перебор" ))) |
Вложений: 1
Цитата:
Цитата:
По предложениям - на их реализацию нужно время, а ничего, кроме визуальных рюшек, это не добавит к функционалу. Чуть позже, может я и сделаю их(после твоей утилиты). Единственное, что можно было бы добавить(на основе личной проверки своей сети) - это автоматом вызывать оснастку локальных групп на удаленной машине по нажатию правой кнопки. Сейчас же приходится самому открывать оснастку, цепляться к каждому компу и выполнять требуемые операции. Ну и еще один нужный функционал - пересканирование выбранного компа. Насчет твоей проблемы - давай её обсудим через ICQ вечером, посмотрим, в чем там дело. Судя по скринам, сбор информации какой то некорректный у тебя. Смотри, на скрине говорится, что у тебя нет ни одного локального пользователя, однако же в локальных админах есть некий Admin. Откуда он взялся? Прав достаточно, потому что если бы их не хватало, то список админов был бы пустым. Можешь привести скрин с оснастки lusrmgr.msc - группы админов - с проблемной машины? P.S. Во вложении - скрин работы программы на моей сети. |
Цитата:
Цитата:
|
Delirium, у меня аналогично ситуация как и у xoxmodav.
win2003 native, запускал с win7 x64 |
вот потому я и прошу дать скрин локальных админов. Чтобы можно было отследить проблему и обновить программу
|
Просьба указывайте пожалуйства в раздаче версию программы, а то идет обновление и не понятно немножко скачивал ты её или нет.
|
Diesel315, упс, я забыл раскомментить эту опцию :) Будет сделано. Жду скрины...
|
Цитата:
|
Delirium,
вот скрин стандартного ПК, вроде должен быть пропущен, но выделен красным Delirium, еще добавь в события treeview чтобы когда курсорными клавишами переключаешь, обновлялись детальные данные по выбранному клиенту |
Да что ж у вас за мания закрашивать локальные имена компов и внутренние IP....
Таак, судя по всему, прога почему то не собирает список локальных пользователей. АГА, дошло! Щас подправим... |
Версия 1.0.0.1.
Поддерживаю spkvvs: программа не реагирует на переход по дереву компьютеров курсорными клавишами. И еще: очень хотелось бы на выключенных компьютерах видеть надпись "Выключен" или "Недоступен". |
Коллеги, я прекрасно понимаю, что можно навешать кучу фишек, рюшек, менюшек, иконок на программу, но на это нужно время, а результат будет идентичен начальному. Я вот, к примеру, не пойму, почему у некоторых отписавшихся выдает пустой список локальных пользователей. Там процедура элементарна - подключение через WMI - select name from win32_UserAccount - почему он не отрабатывает на ваших машинах, пока не могу понять... Может, есть гуру, которые меня просветят? :) Исправив это, получим рабочую утилиту, но без кучки украшений :) Честно, будет время, приведу ее в человеческий вид по пожеланиям, пока на первом месте, увы, работа :)
|
Такой вопрос к тем, у кого работает кривовато - служба WMI Запущена или нет?
|
Delirium,
служба Windows Management Instrumentation - на обоих DC запущена, локально (Win7) нет - даже не нашел такую служба Windows Management Instrumentation Driver Extension - на обоих DC запущена не была - запустил, локально (Win7) нет - даже не нашел такую локально (Win7) и на обоих DC службы WMI Performance Adapter запущенны не были, стояли manual запустил - результат тот же |
Вложений: 1
Вопрос - что означает сия ошибка? <<См. файл>>
Не выдает список компов домена, сканирование не пашет... :-(( |
хм... вылетает при начале сканирования?
|
Да, в самом начале ненадолго появляется маленькое окошко, типа идет сканирование, потом быстро пропадает и внизу главного окна пишет "Длина не может быть меньше нуля" и так далее...
Домен на Windows 2003, программу CheckAdmins запускал на Windows 7 rus 64 bit и Windows XP SP3 rus 32bit, результат одинаковый. |
это полумера.
действительно нужно проверка на соответствие шаблону и отправка изменений. Но есть замечательная тулза SMBRelay которая будет замечательно использована при работе предложенной софтины. на мой взгляд нужно писать клиента который бы отправлял данные на сервер и по полученным отчетам уже производить анализ. Но самое идеальное это не мучаться и правильно настроить Restricted Groups в политике. |
А что с моим багом?
|
rrev, пока не могу понять, почему вылетает. Судя по скрину, проверка начинается и находится 1 машина, после чего вылетает.. Можешь вложить сюда XML файлы из папки с программой, они формируются после начала сканирования?
|
Вложений: 3
Delirium, да, конечно, могу. Вот.
Сначала думал что дело в кривой учетной записи компа с именем "052" - удалил его - все то же. Заранее спасибо. |
ОК, постараюсь посмотреть в ближайшее время.
|
Заглохло, видимо... :-(
|
rrev, пока нет возможности доработать, текущая работы съедает все свободное время :( Могу предоставить исходники, если есть желание и умение :)
|
Delirium, Если исходники на Delphi или Visual Basic, то пожалуйста, а если на C++ builder или подобном, то не нужно, не привыкший я к Сишному синтаксису.
Большое спасибо. |
rrev, C#.
|
:-( гм
Все равно спасибо. |
Добрый день!
Каким образом с помощью Вашей утилитки пробежаться по ip-диапазону домена? Домен-большой!!! Подсетей множество. Нужно узнать кто в админам буквально в 1-2 подсетях) |
Djkr1982, с помощью моей утилитки никак :) Я попробую, конечно, довести свои проекты до ума, пока в отпуске, но гарантировать не могу. Идею понял, реализация не сложна, нужно только время.
|
Эх, всем бы хороша программка, да только стопорится постоянно. Пишет вот что http://clip2net.com/s/1c47F и больше никакой информации. И почему то не хочет собирать данные с win7. И при работе в win7 опять же, постоянно вылетает окошко проводника при нажатии на имя домена или группы которое подвисает и почему то лезет не в домен, а в рабочую группу.
|
avendeil, это потому, что писал ее давно, и многих нюансов не учел. Я никак не могу выкроить время и переписать ее с нуля, с использованием многопоточности, чтобы информация одновременно собиралась со всех машин, а не последовательно. Ну и учесть все недочеты и пожелания. При возможности доделаю обязательно :)
|
Занялся переделкой программы. Сделал многопоточность, теперь 130 машин оббегает секунд за 40. Изменил внешний вид и логику работы. Разобрался, почему выдает список всех доменных пользователей при сканировании рядовой машины. Убрал ошибку "длина не может быть меньше нуля". Завтра постараюсь успеть сделать сканирование по IP диапазону и по списку вручную введенных имен машин.
avendeil, после того как выложу новую версию, протестируй ее на своей сети и сообщи результаты, если не тяжело. |
с нетерпением жду сканирования по ip-диапазону )
|
Обновленная версия в шапке темы, по адресу http://firsov.ucoz.ru/load/check_administrators/1-1-0-2 или на soft.oszone.net - http://soft.oszone.net/program/12826...istrators.html.
После запуска не забываем прописать верные имя и пароль для соединения с удаленными машинами. P.S. Надеюсь, администрация oszone не подаст на меня в суд за использование их логотипа в меню "О программе" :) |
Попробовал утилиту - для всех рабочих станций и серверов сети выдало ошибку:
Цитата:
|
покажи скрин с вкладки "Настройка и запуск"
|
На рабочих станциях следующий эвент: Цитата:
|
Мда... А зачем мне скрин, где замазано самое нужное то?
Правила использования: 1. Вводим имя и пароль доменного пользователя, который должен быть администратором на всех машинах, т.е. состоять в группе Domain Admins(это при условии, что эта группа включена в группу локальных администраторов на машинах). 2. Шаблонные настройки - здесь порядок таковой: а) ЛОКАЛЬНЫЕ пользователи вводятся без указания домена, т.е. просто Администратор, administrator и т.д. б) ДОМЕННЫЕ пользователи и группы вводятся с указанием домена, т.е. domain\Администраторы домена. Шаблоны справа нужны для того, чтобы набрать, например domain\ и щелкнуть по шаблону. Полученную запись добавляем в список. 3. Выбираем метод сканирования - по IP или всему домену. IP можно указывать как от большего к меньшему, так и наоборот. Можно указывать сразу несколько подсетей(192.168.1.0-192.168.2.255). Если при сканировании выдается сообщение "Отказано в доступе", то это может говорить о следующем: 1. Неверно указаны учетные данные для соединения. 2. На машинах "глючит" WMI 3. Соединения блокируются файрволами. Проверял сегодня ее на сети из 3 подсетей, а также на сети одной очень крупной организации(не буду говорить какой) - работает. |
Может стоит сделать интерфейс резиновым, чтобы надписи в ячейки умещались? Или в ячейках отображать краткое описание ошибки, а при наведении на них курсора мышки - полное?
|
можно еще добавить сохранение
Шаблонов Администраторов и IP диазпзон |
вы мне напишите, работает ли утилита, скорость сканирования, есть ли вылеты, исключения и прочее... Про рюшки я знаю, все можно будет сохранять, плюс я сделаю выгрузку в Excel результатов сканирования и в планах, если получится, удаление левых пользователей из администраторов.
Интерфейс сделан не резиновым по той причине, что часто вылетают исключения при автоматическом растягивании ячеек при многопоточном обращении к списку. Подумаю, как сделать красивее. В любом случае всё то, что выводится в список, потом отображается при детальном просмотре выбранной машины. |
xoxmodav, Жень, давай тестируй, если хочешь побыстрее англ.версию VT Checker :)
|
Вышло обновление, версия 2.3. Список изменений и ссылки на загрузку в шапке темы.
|
Сделал стресс-тест. указал диапазон IP 172.28.1.1-172.28.255.255. Минут 10 формировал 65279 строк :) Зато дерево детального просмотра на основе этих данных создалось за минуту. :)
|
Ошибку вывалил на одном из доменов:
Код:
See the end of this message for details on invoking |
также существует ошибка как в 81 почту. Отказано в доступе и т.д.
|
Цитата:
Djkr1982, по поводу ошибки я писал - это или неверные учетные данные или ошибки WMI или нет доступа к машине. |
Цитата:
|
все опрошенные компы сказали "нет доступа". Только при указании домена в логине все заработало. Ну мелкие проблемы типа сервер RPC недоступен не учитываем, это косяк конечного компа.
домен на win2008r2 и часто вылетает вот эта ошибка. По прежнему при раскрытии списка компов домена вылезат зависающее окно проводника(даже просто при жмакании на "плюс" что бы раскрыть окно. И при выборе любого компа вылетает ошибка http://clip2net.com/s/1cXZF в сведениях вот это и это И при закрыти окна сканирования сети(во время сканирования) прога просто вылетела. список локальных админов пуст. |
Так, ну давайте разбираться.
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
Я вижу, что ошибка мелкая, нет просто где то проверки на длину какой то записи, надо будет только найти, где. Цитата:
Цитата:
Если будет время на выходных, постараюсь все исправить, при условии, что напишете ответ на мои просьбы. И еще. Отсканируйте проблемные домены, скиньте мне в PM файл-результат в Excel? Выгрузка возможна как в окне сканирования, так и в дереве компьютеров по нажатию ПКМ. Только не надо затирать ваши учетки и прочее, они мне не нужны, а если этих данных не будет, я не пойму куда копать. По поводу опции "удалять из группы администраторов". Она нужна? Или может лучше не удалять, а изменять пароль этой учетной записи? Какие есть пожелания? |
Ух все отвечу.
http://clip2net.com/s/1d1ij главное окно. Сканировал по своему домену. (он у меня один так то, но такое впечатление что нашелся еще один домен) Учетка доменного админа. (неплохо бы кнопочку свернуть по время скана, 400+ машин в домене как бы способствуют. сканирует все же не моментально, но достаточно быстро, респект) Скан завершился, выгрузил в эксель, и сразу после закрытия окна скана вылезло вот это: Предварительные нажатия - никаких, просто развернул список домена, и тыкнул по первому попавшемуся компу. После скана и открытия результатов вот: http://clip2net.com/s/1d1nn Результат скана http://clip2net.com/s/1d1oC Ну что еще... эксель выслал в личку менять пароль локального админа очень бы круто, т.е. у меня есть учетка администратор и на нее бы поставить определенный пароль, но только на эту учетку, а не на всех локальных админов. Привести этот список под общую гребенку можно и ГПО. |
Цитата:
По поводу большинства ошибок все понятно - поправим. Цитата:
|
Вложений: 1
Во вложении к этому сообщению отладочная версия с небольшими изменениями. Просьба запустить ее тестирующим и выложить текст исключения, которое появится(переписывать не надо, достаточно при появлении окна нажатьCtrl+C и текст с окошка кинется в буфер).
+убрана кнопка Сохранить для имени и пароля. Нафик не нужна, сохраняется сразу. +Вернул возможность свернуть окно во время сканирования. |
Код:
--------------------------- Код:
--------------------------- Список админов пуст :) |
хм...avendeil, у тебя явно какой то нетривиальный случай :) Завтра буду разбираться, там кода в 10 строчек и чего там в ноль идет, не совсем пока понятно :)
|
Уже лучше, однако утилита ни в какую не хочет видеть в "администраторах домена" этих самых "администраторов":
т.е. списки админов собираются, показываются, но из-за этих самых администраторов домена у всех рабочих станций "красные дни". |
Жень, объясни мне недалекому, зачем ты скрываешь внутренние IP адреса, которые 100%-но сидят за файрволом и прокси сервером? :) Кому какое дело до этого? :)
Цитата:
Сделай так: выгрузи по проблемной машине запись в Excel, скопируй запись о администраторах домена и вставь ее в шаблон. Повтори проверку. |
Цитата:
|
Delirium, конфиденциальность - она превыше всего. Много ли безопасников из бывших ФСБшников или МВДшников в госконторах знают о существовании серых айпишников, о зарезервированных диапазонах и прочих премудростях? Сомневаюсь. Зато они точно знают как любую ерунду чуть ли не к измене родины приравнять, а затем мозг вынести начисто. Поэтому лучше чуть-чуть перебдеть, чем недобдеть. ;)
Цитата:
|
Delirium, небольшое пожелание: оставить стиль кнопок как в системе - тогда приложение будет гармонично смотреться.
|
Цитата:
|
Вложений: 1
Во вложении очередной дебаг :) Задача - запустить программу сканированием по IP диапазону(1-2 машины). После отработки выложить файл Error.txt, который появится в папке с программой.
|
Delirium, ты не поверишь - включил в список "Администраторы домена" без префикса домена (доменного имени) и вуаля - всё заработало как надо. :)
|
Хм.. логи где, error.txt ? :)
|
Вложений: 1
вот. Результаты точно те же, почему то нет списка администраторов и эта уже мистическая ошибка с длинной меньше нуля :)
|
Вложений: 1
avendeil, лог как раз и позволит мне отловить проблему с длиной. Буду сейчас разбирать.
Еще один вопрос - у всех домен "человеческий", т.е. DOMAIN.LOCAL, domain.ru ? Или есть домены, состоящие из одного имени(DOMAIN)? Нашел! У тебя домен состоит из одного имени, без точки! :) Сейчас подправлю.. Во вложении подкорректированная версия, проверяйте. Если все путем, доделываю удаление пользователя/изменение пароля и на этом пока ставим точку. Из соблюдения безопасности убрал сохранение пароля при выходе из программы, т.к. он хранился в открытом виде в файле .config. |
работает! Огромное спасибо :)
Кстати, домен мало того что без суффикса .local так еще и двух буквенный, что сулит мне анальные боли в будущем(будет у нас тут объединение доменов, блин). Все работает, админов выдает и указывает где не соответствует шаблону. |
Ну вот и чудненько, тогда я удаляю из посл. версии всю отладочную информацию, доделываю возможность убрать из администраторов и/или сменить ему пароль, и на этом утилиту можно будет считать доделанной.
|
Выложил последнюю версию 2.3.4.
Изменения: + Добавлена возможность сканирования нескольких машин путем ввода их имени в список. Удобно, если надо просканировать 2-5 различных машин. + Добавлена возможность изменять пароль пользователю(только локальному), а также включать/отключать эту учетную запись. Удаление из группы админов мне никак не поддается, вся документация в инете не помогает. Из шапки темы убрал ссылку на программу, теперь она доступна только на моем сайте и на софт-каталоге oszone.net. Ссылки в шапке темы. В связи с возросшим объемом работы функционал по удалению из группы пока будет "висеть в воздухе". Но основные функции утилита выполняет и, я считаю, этого пока достаточно :) Спасибо всем, принимавшим участие в тестировании. |
Delirium,
приятно удивлен такой программой. но смущает, что надо подставлять пароль в поле. а без этого никак? если. был такой вопрос не пинайте за зря. |
Цитата:
Цитата:
|
Delirium,
а вот, если я с правами domain admins и запускаю на своей раб. станции программу. |
значит введи имя и пароль и используй, имя сохраняется. лень пароль ввести? :)
|
Опишу подробно, почему сделано именно так, а не иначе.
1. Согласно рекомендациям MS, нежелательно работать под учетной записью доменного администратора, т.к. это само по себе является брешью в безопасности. 2. Если все же это есть, то пользователь знает свой пароль. 3. Хранить пароль крайне небезопасно в конфиг-файле. А писать какую то защитку, шифровать - зачем этот лишний функционал? 4. Если использовать NTLM вход, т.е. с использованием учетных данных текущего пользователя, то всегда есть вероятность того, что посторонний человек, запустив программу, сможет начудить(отключить локальные учетки, поменять пароли). Это недопустимо, утилита предназначена в первую очередь для соблюдения безопасности в доменной структуре, а не наоборот. Так что все просьбы включить NTLM будут отклоняться. |
я может что-то не понял. уж не надо серчать.
я понял так, в поле имени пользователя/пароль я ввожу имя потенциального администратора компа. дабы выявить его.так? вот мне надо узнать. из нашего отдела ИТ, кто-нибудь себя поставил на какие-нибудь компьютеры как локальн.администратор? т.е. ввожу имя потенциального админа "vasil", но пароль мне не известен (ну дали им возможность. чтобы они сами себе меняли). и собственно указываю сеть, где надо проверить это (весь домен не нужен). зачем мне в это поле вводить свое имя и пароль соответсвенно? т.е. мне нужно это. есть возможность так сделать? |
mesmer, нет - вводишь пароль доменной учётной записи с привилегиями "администраторов домена", выбираешь тех пользователей которые должны быть в группе локальных администраторов и запускаешь утилиту. Она сканирует рабочие станции сети и выводит отчёт с указанием компьютеров/серверов, на которых в группу локальных администраторов входят посторонние учётные записи. Пароль локальных администраторов или сторонних учётных записей знать при этом не нужно.
|
так так, т.е. выбор ""выбираешь тех пользователей которые должны быть" - это где поля шаблон?
ну тогда получаю такое: произвожу сканирование (в шаблоне указаны: Administrator, Администратор, добавляю mydom\valis, больше ничего не ввожу) определенный интервал в сети (.55-60) выдало, что: 1.55 - помечен красным нужный vasil, так же помечен красным локальный администратор, и mydom\Domain Admins 1.56 - помечен так же красным - mydom\Domain Admins, и mydom\user2 но ведь я не указывал в поиске user2 или все рекурсивно поперло и нашло, к тому же почему mydom\Domain Admins указан в найденном? И что есть левые администраторы? Тперь главное - если я правой кнопкой "Отключить учетную запись" - выбираю. что происходит с этой учеткой? Как все же производить удаление из группы "администраторы" на данном ПК. Идет понижение роли? до пользователя, или удаляется профиль так скажем. И последнее: "смена пароля" - что это? есль пользователь все же из AD... |
Цитата:
Цитата:
В шаблоне нет mydom\Domain Admins, поэтому они и красные. Левые - это те, которые НЕ ДОЛЖНЫ быть администраторами, т.е. те, которых нет в списке шаблонов. Цитата:
Цитата:
Цитата:
|
с конца:
"Зачем менять пароль ДОМЕННОМУ пользователю?" не зачем! я просто интересуюсь вашим продуктом и хочу знать who is who. "То же самое, что и когда жмем опцию "отключить учетную запись" в свойствах пользователя." Как-то не могу себе представить как отключить, доменную запись? физически не отключишь кроме как опять же через AD, так ведь? значит это действенно в рабочих группах. Короче говоря. на данный момент я могу использовать ваше ПО, в целях быстрого, информативного и простого выявления посторонних администраторов. вот и все что хотел узнать, спасибо! зы, про васил - залипают клавиши, кофею пролил. |
mesmer, мне кажется вам стоит более плотно заняться изучением системного администрирования и доменной структуры, в противном случае вопросы у вас не закончатся никогда. ))
|
Цитата:
И я полностью согласен с высказыванием xoxmodav. Цель утилиты - наглядное представление о состоянии безопасности рабочих компьютеров. И не более того. Хотите более - изучайте AD, настраивайте групповые политики, Restricted Users, ограничивайте пользователей в соответствии с гос.стандартами по безопасности. |
Delirium,
да не в том суть. что изучать и как. у меня вопросы сложились вот почему: - указанный функционал - нет точного понимания работы самой программы. все. все это я уже выяснил. где куда и какие пользователи и какие группы - это мое понимание и пусть оно останется. ибо я лишь привел пример изначально про отдел и про vasil. все! |
Ну вот. Обновил версию(2.3.5), теперь можно удалять локальных пользователей из группы "Администраторы" :) Как всегда, обновленная версия на моем сайте и, после модерации, будет доступна на soft.oszone.net.
|
Очередное обновление до версии 2.3.6.
Исправлено: - При смене пароля записывался не введенный пароль, а мой тестовый "newpassword". Добавлено: 1. Удаление доменного пользователя из администраторов; 2. Удаление доменной группы из администраторов (исключая Domain Admins, Администраторы домена); 3. Добавление доменного пользователя в администраторы; 4. Добавление доменной группы в администраторы; Остались мелкие глюки, как, например, отображение в окне справа уже удаленной записи. Запись на самом деле удалена, при повторном сканировании ее видно не будет. |
Вы бы хоть описались, работают или нет последние изменения :)
|
1. не совсем ясно что за ошибка возникает в процессе сканирования в поле Описания:
Компьютер Статус Описание IP 10.64.X.X [Завершено...] Нет описания. Вызов был отклонен фильтром сообщений. (Исключение из HRESULT: 0x80010002 (RPC_E_CALL_CANCELED)) 2. Практически все машины после сканирования попадают в раздел Ошибки WMI. Всего лишь по тройке машин видны реальные ожидаемые результаты. Причем одна из данных трех не существует по IP. Откуда берутся эти данные-загадка. |
Цитата:
1. Запросы блокируются брандмауером(файрволом) 2. Ошибки в настройках WMI. Как проверить работу WMI, а также восстановить его работоспособность описано здесь Цитата:
dsquery computer -inactive 24 - список машин, неактивных 24 недели (полгода). Цифру можно менять и смотреть по разным периодам. Ну и вот: Как исправить ошибку "Вызов был отклонен фильтром сообщений" |
Delirium, Добрый день полезная утилитка, но хотелось бы при выборочном сканировании добавлять список компьютеров, или сразу из файла или строкой с разделителями :)
|
Maxim_Z, а зачем? Это так часто используется? Не проще воткнуть диапазон IP и вперед? Сделать то можно, только мне кажется, что это лишняя фича.
А добавлять можно просто. Ткнули один раз в добавить, вбили имя, нажали Enter, тут же еще раз Enter - еще имя. и так далее, имя-Enter -имя-Enter-имя-Enter. Специально сделал, чтобы фокусы были где надо, чтобы быстро вводить. |
Обновление до версии 2.3.7.
Добавлено: +Агл. локализация (выбор происходит автоматически в зависимости от языка ОС) +возможность добавления записей из произвольного файла в список "отдельные машины" (ПКМ на поле - добавить из файла). Поправлено: -Убрана ошибка при сканировании локальной машины (Error: local credentions....) -Поправлены мелкие недочеты |
Цитата:
Цитата:
|
Цитата:
Цитата:
Цитата:
|
Цитата:
|
Спасибо, давно искал такую программу.
Пара глюков, которые возникли у меня (версия 2.3.7):
И пожелание: У нас в сети несколько доменов. Можно ли сделать в программе возможность указывать, какой именно домен сканить? |
Цитата:
Цитата:
Насчет выбора домена. Да, конечно, сделать это можно. Если сегодня на работе не будет запарки, сделаю. |
Добрый День!
спасибо за программу, скачал, работаю - очень удобно. нашел минусы: 1 - удаляет только локальных пользователей из группы Локальные администраторы, если там находится пользователь домена то мне не удалось его удалить. 2 - если удалить локального пользователя то пока находишься в этом окне - то всё нормально (краснота справа на имени компа ушла) НО как только выбрать другой комп справа и вернуться обратно (!) ТО удаленный пользователь снова на месте (при попытки его удалить снова выходить ошибка, т.е. на самом деле он удалился но в программе снова появился). |
Цитата:
Цитата:
Цитата:
|
|
Цитата:
|
О как, интересно. Мало того, что я увидел ошибки в локализации (сообщение было на англ. вместо русского), так еще и логика где то неверна. Дабы уяснить все нюансы, сделай, пожалуйста, следующее (можно в PM, только не надо затирать имена доменов и прочего):
скриншоты действий и окон при сканировании выборочном. скриншоты действий и окон при сканировании по IP. Я не могу понять, почему по IP результат не выдается, там используются те же функции, единственное отличие - вначале идет обращение к DNS серверу для получения имени машины. Обратная зона в DNS корректно настроена и работает? Проверить можно командой nslookup, и ввести IP адрес машины. |
Мда, вот так всегда, напишут про ошибку и исчезнут...
Судя по разбору полетов, проблема все таки не в программе :) Логика программы: 1. //Проверяем запись в DNS 1.1 //ПРоверяем, IP или имя машины в списке Код:
if (isIP) Соответственно, ошибка идет при возврате имени машины, взятой по IP адресу, а берется это из DNS. Локализацию поправил, скоро добью многодоменную проверку. |
Приветень!
да, я тоже заметил что эти два сообщения на разных языках сейчас работу разгребу и сделаю что просили |
Тут еще фичу предложили, думаю, следует реализовать. Смысл прост, но удобен - после сканирования дать возможность пакетной обработки пользователей. Т.е. выделить 3-4 машины и добавить в них админов, либо же удалить из админов.
Стоит заморачиваться на этом? |
Вложений: 1
Выкладываю во вложении версию 2.3.7.1 beta. В ней добавлено поле Домен. Для сканирования другого домена надо ввести NETBIOS имя домена в это поле и, соответственно, указать учетные данные админа из нужного домена. Проверить работу у себя не могу, порты закрыты файрволами админов других подразделений. Потестируйте, сообщите результаты, если не сложно.
Во вложении только измененный exe-шник и библиотека. Все остальное без изменений. |
Я извиняюсь, просто сейчас в отпуске и далеко от компа :-) Но скоро вернусь!
Цитата:
|
Цитата:
|
Цитата:
|
grimzik, в таком случае я могу посочувствовать. "Специалисты", у которых так работает DNS - как минимум странные специалисты.
Если учитывать все нюансы, которые допускают безалаберные спецы, то жизни не хватит на доработку. Все таки эти утилиты создаются для администраторов и безопасников, которые понимают, что они делают и как. И если они не знают элементарного, то мне вас искренне жаль. Да, конечно, можно убрать опрос DNS, сделать все топорно, но следом за вами появится еще кто нибудь, у которого не то что обратной зоны, у него и прямой то не будет, и вообще он знать не будет про DNS. Что в таком случае делать? Active Directory без нормально работающей DNS - это надстройка над сараем. Если у вас есть возможность, покажите этот форум и эту тему вашим "спецам", мы постараемся их убедить и направить в нужное русло :) |
программа перестала делать экспорт в эксель((((
Подробная информация об использовании оперативной (JIT) отладки вместо данного диалогового окна содержится в конце этого сообщения. ************** Текст исключения ************** System.InvalidCastException: Невозможно привести COM-объект типа "Microsoft.Office.Interop.Excel.ApplicationClass" к интерфейсному типу "Microsoft.Office.Interop.Excel._Application". Операция завершилась со сбоем, поскольку вызов QueryInterface COM-компонента для интерфейса с IID "{000208D5-0000-0000-C000-000000000046}" возвратил следующую ошибку: Библиотека не зарегистрирована. (Исключение из HRESULT: 0x8002801D (TYPE_E_LIBNOTREGISTERED)). в Microsoft.Office.Interop.Excel.ApplicationClass.get_ReferenceStyle() в CheReAd.GetDomainInfo.ExportToExcel(DataGridView grid) в CheReAd.frmProgress.экспортВExcelToolStripMenuItem_Click(Object sender, EventArgs e) в System.Windows.Forms.ToolStripItem.RaiseEvent(Object key, EventArgs e) в System.Windows.Forms.ToolStripMenuItem.OnClick(EventArgs e) в System.Windows.Forms.ToolStripItem.HandleClick(EventArgs e) в System.Windows.Forms.ToolStripItem.HandleMouseUp(MouseEventArgs e) в System.Windows.Forms.ToolStripItem.FireEventInteractive(EventArgs e, ToolStripItemEventType met) в System.Windows.Forms.ToolStripItem.FireEvent(EventArgs e, ToolStripItemEventType met) в System.Windows.Forms.ToolStrip.OnMouseUp(MouseEventArgs mea) в System.Windows.Forms.ToolStripDropDown.OnMouseUp(MouseEventArgs mea) в System.Windows.Forms.Control.WmMouseUp(Message& m, MouseButtons button, Int32 clicks) в System.Windows.Forms.Control.WndProc(Message& m) в System.Windows.Forms.ScrollableControl.WndProc(Message& m) в System.Windows.Forms.ToolStrip.WndProc(Message& m) в System.Windows.Forms.ToolStripDropDown.WndProc(Message& m) в System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m) в System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m) в System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam) ************** Загруженные сборки ************** mscorlib Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5472 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorlib.dll ---------------------------------------- CheReAd Версия сборки: 2.3.7.1 Версия Win32: 2.3.7.1 CodeBase: file:///D:/poweshell/админы/2_Cheread_2.3.7/CheReAd.exe ---------------------------------------- System.Windows.Forms Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5468 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms/2.0.0.0__b77a5c561934e089/System.Windows.Forms.dll ---------------------------------------- System Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5467 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System/2.0.0.0__b77a5c561934e089/System.dll ---------------------------------------- System.Drawing Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5467 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Drawing/2.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll ---------------------------------------- System.Management Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Management/2.0.0.0__b03f5f7f11d50a3a/System.Management.dll ---------------------------------------- System.Data Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_32/System.Data/2.0.0.0__b77a5c561934e089/System.Data.dll ---------------------------------------- System.Xml Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5476 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Xml/2.0.0.0__b77a5c561934e089/System.Xml.dll ---------------------------------------- CheReAd.resources Версия сборки: 2.3.7.0 Версия Win32: 2.3.7.0 CodeBase: file:///D:/poweshell/админы/2_Cheread_2.3.7/ru/CheReAd.resources.DLL ---------------------------------------- System.Windows.Forms.resources Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5420 (Win7SP1.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Windows.Forms.resources/2.0.0.0_ru_b77a5c561934e089/System.Windows.Forms.resources.dll ---------------------------------------- mscorlib.resources Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5472 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/Microsoft.NET/Framework/v2.0.50727/mscorlib.dll ---------------------------------------- System.Configuration Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5476 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.Configuration/2.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll ---------------------------------------- System.DirectoryServices Версия сборки: 2.0.0.0 Версия Win32: 2.0.50727.5467 (Win7SP1GDR.050727-5400) CodeBase: file:///C:/Windows/assembly/GAC_MSIL/System.DirectoryServices/2.0.0.0__b03f5f7f11d50a3a/System.DirectoryServices.dll ---------------------------------------- Microsoft.Office.Interop.Excel Версия сборки: 14.0.0.0 Версия Win32: 14.0.4756.1000 CodeBase: file:///C:/Windows/assembly/GAC_MSIL/Microsoft.Office.Interop.Excel/14.0.0.0__71e9bce111e9429c/Microsoft.Office.Interop.Excel.dll ---------------------------------------- ************** Оперативная отладка (JIT) ************** Для подключения оперативной (JIT) отладки файл .config данного приложения или компьютера (machine.config) должен иметь значение jitDebugging, установленное в секции system.windows.forms. Приложение также должно быть скомпилировано с включенной отладкой. Например: <configuration> <system.windows.forms jitDebugging="true" /> </configuration> При включенной отладке JIT любое необрабатываемое исключение пересылается отладчику JIT, зарегистрированному на данном компьютере, вместо того чтобы обрабатываться данным диалоговым окном. |
та же проблема, что и у Darza - не удаляются доменные пользователи
|
Очень хорошая утилита, удобная.
Проект до сих пор в заморозке? Готов посильно поддержать материально для разморозки. :) Хотелось бы еще добавить такие возможности: - сканирование отдельных OU, а не всего домена; - подсветка "нарушителей" также и в таблице Excel; - при сканировании по домену иметь возможность удалить из списка отдельные машины. Еще не понял роль опции включения/выключения пакетного выбора компьютеров (в меню "Вид"). |
Да, проект также приостановлен, в связи с тем, что нет времени на доработку и нет такой сети, где можно было бы выловить некоторые найденные другими пользователями недочеты и ограничения.
Я посмотрю, можно ли что нибудь допилить... |
Время: 18:02. |
Время: 18:02.
© OSzone.net 2001-