Компьютерный форум NoWa.cc - Показать сообщение отдельно - Ручное удаление аккаунта Администратора в Windows NT/2k/XP/2k3

SEARCHER · 09.01.2005, 01:24

некоторые примечания

На деле все довольно просто, хотя могут быть и несколько более сложные варианты. Надеюсь, что довольно долгое обсуждение, с которым вы только что ознакомились, поможет вам отыскать собственные пути решения требуемых задач.
Если вы вручную избавитесь от внешних средств безопасности (имеются в виду Domain Accounts) в группе Администраторов, вам также потребуется удалить соответствующий ключ в HKLMSAMSAMDomainsBuiltinAliasesMembers<SID модифицированной группы>.
Я действительно не могу это доступно объяснить – просто добавьте и удалите доменный аккаунт с помощью GUI, одновременно наблюдая за происходящем в этом ключе, и вы поймете, что я имею в виду. Не беспокойтесь об этом, если вы добавляли аккаунт или работали только с локальными аккаунтами. Наконец, будьте внимательны, так как любое действие, предпринимаемое с помощью GUI, увеличивает значение счетчика в одном из значений в HKLMSAMSAMDomains...
Прошло довольно многого времени с той поры, когда я сам это делал и сейчас я точно не помню, где конкретно оно находится, но вам не следует переживать по этому поводу, если вы сделаете все вручную. Я предполагаю, что это используется при контроле версий SAM для PDC, которое реплицируется с BDC и тому подобное – но я этого не проверял. Приз любому, кто займется этим и расскажет почтенной публике ;-)
В заключение – исключение с увеличением уровня привилегий, которое я упоминал в начале статьи. Microsoft включает в установку Windows Server несколько групп по умолчанию. Одна из них – группа Server Operators – располагает сравнительно неплохим уровнем доверия и физическим доступом к серверу. Эта группа имеет полномочия на добавление принтеров, осуществление обслуживания и так далее, но они не Администраторы и не могут создавать аккаунты и наделять их своими полномочиями.
Как бы то ни было, Microsoft включила специальную привилегию, которая может быть активирована для этой группы (хвала богам, она по умолчанию отключена), которая позволяет им планировать задания. В свете только что прочитанного вами, я уверен, вы понимаете, что это предоставляет практически неограниченные возможности для предприимчивого Server Operator’а.
Если они обладают правами планирования задач и сервис Task Scheduler оставлен работать как LocalSystem (практически повсеместный случай), то Server Operator может предпринять описанные в этой статье шаги и добавить себя в группу Администраторов, тем самым, подняв уровень своих привилегий выше положенного. Дополнительно, само собой, они могут удалить встроенный Администраторский аккаунт. Пища для размышлений…
Вот так. Это все.

09.01.2005, 01:24	#2
SEARCHER Пользователь Регистрация: 02.08.2004 Адрес: iNTERNET Сообщений: 142 Репутация: 220	Re: Ручное удаление аккаунта Администратора в Windows NT/2k/XP/2k3 некоторые примечания На деле все довольно просто, хотя могут быть и несколько более сложные варианты. Надеюсь, что довольно долгое обсуждение, с которым вы только что ознакомились, поможет вам отыскать собственные пути решения требуемых задач. Если вы вручную избавитесь от внешних средств безопасности (имеются в виду Domain Accounts) в группе Администраторов, вам также потребуется удалить соответствующий ключ в HKLMSAMSAMDomainsBuiltinAliasesMembers<SID модифицированной группы>. Я действительно не могу это доступно объяснить – просто добавьте и удалите доменный аккаунт с помощью GUI, одновременно наблюдая за происходящем в этом ключе, и вы поймете, что я имею в виду. Не беспокойтесь об этом, если вы добавляли аккаунт или работали только с локальными аккаунтами. Наконец, будьте внимательны, так как любое действие, предпринимаемое с помощью GUI, увеличивает значение счетчика в одном из значений в HKLMSAMSAMDomains... Прошло довольно многого времени с той поры, когда я сам это делал и сейчас я точно не помню, где конкретно оно находится, но вам не следует переживать по этому поводу, если вы сделаете все вручную. Я предполагаю, что это используется при контроле версий SAM для PDC, которое реплицируется с BDC и тому подобное – но я этого не проверял. Приз любому, кто займется этим и расскажет почтенной публике ;-) В заключение – исключение с увеличением уровня привилегий, которое я упоминал в начале статьи. Microsoft включает в установку Windows Server несколько групп по умолчанию. Одна из них – группа Server Operators – располагает сравнительно неплохим уровнем доверия и физическим доступом к серверу. Эта группа имеет полномочия на добавление принтеров, осуществление обслуживания и так далее, но они не Администраторы и не могут создавать аккаунты и наделять их своими полномочиями. Как бы то ни было, Microsoft включила специальную привилегию, которая может быть активирована для этой группы (хвала богам, она по умолчанию отключена), которая позволяет им планировать задания. В свете только что прочитанного вами, я уверен, вы понимаете, что это предоставляет практически неограниченные возможности для предприимчивого Server Operator’а. Если они обладают правами планирования задач и сервис Task Scheduler оставлен работать как LocalSystem (практически повсеместный случай), то Server Operator может предпринять описанные в этой статье шаги и добавить себя в группу Администраторов, тем самым, подняв уровень своих привилегий выше положенного. Дополнительно, само собой, они могут удалить встроенный Администраторский аккаунт. Пища для размышлений… Вот так. Это все. __________________