Thursday, April 23rd, 2009...10:28 pm

Domyślne uprawnienia Account Operators na obiekcie kontrolera domeny

Jump to Comments

Active Directory Documentation Team opublikował ciekawą informację o uprawnieniach nadawanych domyślnie na kontach komputerów grupie Account Operators (AO) w kontekście późniejszego promowania takiego konta do roli kontolera domeny.

(cc) ph0t0 {loves you too}

W dużym skrócie:

  • AO posiadają w domenie domyślnie uprawnienia do zarządzania obiektami komputerów (między innymi)
  • Domyślne uprawnienie nadawane AO na takim obiekcie to Full control.
  • Uprawnienie to jest zachowywane w przypadku gdy komputer zostanie później promowany do roli kontrolera domeny.
    • W wyniku takiej operacji użytkownicy z uprawnieniami AO mają pełne prawa do obiektu komputera (nie w samym systemie) kontrolera domeny.
  • Sytuacja dotyczy kont komputerów:
    • utworzonych w Windows 2003 oraz Windows 2008 R2
  • Sytuacja ta nie występuje w przypadku domen zainstalowanych od początku na Windows Server 2008.
  • Rozwiązanie jest proste:
    • Dla takiego obiektu komputera należy wyedytować uprawnienia dokonać odpowiedniej korekty.

W zasadzie nie lubię przepisywać tego kto coś już napisał ale jakoś tak mi wyszło, myślę że z pożytkiem.

Leave a Reply