Hasło DSRM powiązane z użytkownikiem domenowym

2 września 2015 at 08:02

Hasło DSRM (Directory Services Restore Mode) przez wielu administratorów jest (NIESTETY) traktowane po macoszemu. Często sprowadza się to do jego wpisania przy promowaniu kontrolera domeny i zapomnieniu. W niektórych wypadkach wynika to z przekonania, że przecież zawsze owe hasło można zmienić poceniem:

– Zawsze – pod warunkiem, że usługi katalogowe działają prawidłowo i możesz je wystartować! O tym już mało kto pamięta… W pozostałych przypadkach wynika z przekonania, że AD zawsze będzie działać prawidłowo, że to przecież prosta usługa i nic się z nią złego nie dzieje, a w razie czego odtworzy się z backupu – taa jasne… powodzenia Na szczęście już jakiś czas temu Microsoft pomyślał o takich Kamikaze i wydał Hotfix’a umożliwiającego synchronizację hasła DSRM z kontem użytkownika domenowego. (Poprawka dla systemów Windows Server 2008; nowsze mają ją już wbudowaną). Poprawkę można znaleźć pod linkiem: https://support.microsoft.com/en-us/kb/961320 Jak działa ta funkcjonalność? 1. Należy utworzyć dowolnego użytkownika domenowego (bez dodawania do żadnych grup typu Domain Admins, Enterprise Admis etc.) 2. Zainstalować ww. Hotfix’a na kontrolerach domeny po czym je zrestartować. (Jeśli mamy nowsze niż 2008 ten krok pomijamy). 3. Zalogować się interaktywnie na kontrolerze domeny i wprowadzić następujące polecenia:

I gotowe. Nie ma konieczności wprowadzania starego ani nowego hasła […]

CPasswords i zmiana haseł w GPO

27 stycznia 2015 at 07:07

Od czasu wprowadzenia GPP (Group Policy Preferences) automatyczna zmiana haseł kont lokalnych stała się prosta łatwa i przyjemna. Niestety przyszedł dzień 13.05.2014 i znaleziona (znana już wcześniej) „luka” bezpieczeństwa spowodowała, że Microsoft całkowicie wycofał się z możliwości zmiany haseł dla kont lokalnych z wykorzystaniem GPP… Co więcej nie dotyczyło to tylko nowych systemów operacyjnych, lecz wraz z zainstalowaniem którejś z kolejnych poprawek – wycięło tą możliwość również z już działających starszych systemów. O co tak naprawdę zrobiono tyle szumu? – Burza w szklance wody Przeanalizujmy z czego wynika zamieszanie: 1. Zarówno GPO jako i GPP są utrzymywane na zasobie SYSVOL w postaci plików konfiguracyjnych XML oraz towarzyszących im metadanych. 2. Aby móc pobrać i przetworzyć GPO lub GPP należy mieć do nich uprawnienia – uprawnienia z GPO są przenoszone na SYSVOL 3. Atrybut CPassword jest szyfrowany 32-bitowym AES’em i w takiej postaci jest zapisywany do pliku XML   Zatem zamiast zmienić szyfrowanie na bezpieczniejsze – Microsoft wyciął możliwość zarządzania hasłami lokalnymi w jakże prosty i intuicyjny sposób… Swoją drogą wystarczyło być świadomym administratorem i do GPO obsługującego hasła lokalne przyciąć uprawnienia jedynie dla stacji domenowych (odebrać uprawnienia odczytu i przetworzenia zasad użytkownikom) – dzięki czemu użytkownik w swoim imieniu nie […]

Determinowanie celów zasad grup

6 stycznia 2015 at 14:21

Obiekty zasad grup – (GPO, ang. Group Policy Objects) mają na celu ułatwienie administratorom zarządzania, konfiguracji, monitorowania, wdrażania i wielu innych, codziennych, a jakże żmudnych czynności, gdy muszą one być wykonywane na dziesiątkach lub setkach hostów. Pozwalają na znaczne zwiększenie wydajności i bezpieczeństwa, przy jednoczesnym zmniejszeniu nakładów pracy, kosztów i czasu reagowania na zaistniałe sytuacje. Wyobraźmy sobie sytuację, że jesteśmy administratorem, który pod swoją opieką ma setki stacji klienckich i serwerów. Właśnie wychodzi istotne z biznesowego punktu widzenia zagrożenie, na które musimy zareagować, ewentualnie helpdesk przekazuje nam powtarzające się skargi użytkowników, na działanie ich systemów, związane z tymi samymi niedogodnościami. Oczywiście zareagować musimy natychmiast, jednak bez centralnego miejsca, z którego możemy zarządzać zmianami w systemach, czy instalacją oprogramowania, zmuszeni bylibyśmy do przejścia po wszystkich hostach i monotonnego powtórzenia setki razy, tych samych czynności – zgroza! Na szczęście Microsoft, już jakiś czas temu, dał nam do ręki potężny oręż, dzięki któremu jesteśmy w stanie szybciej i niezwykle wydajnie zarządzać naszym środowiskiem IT. Przyjrzyjmy się mu więc bliżej. Zasady grup są jedną z funkcjonalności systemu Windows, która umożliwia administratorom konfigurację i zarządzanie ustawieniami urządzeń oraz użytkowników, z wykorzystaniem centralnego punktu administracyjnego. Najbardziej elementarną częścią zasad grup jest pojedyncze ustawienie zasad grup, nazywane […]

© Marcin Krzanowicz