Как узнать, какое действие можно выполнить с компьютерным объектом

Обновлено: 02.07.2024

Организациям требуются системы виртуализации, которые не только поддерживают различные типы приложений, но и упрощают ИТ-инфраструктуру.

Виртуализация приносит экономию средств и экономит время ИТ-специалистам, которые курируют роботов-роботов. Для эффективной реализации требуется облачная среда.

Администраторы часто сравнивают Xen и KVM как варианты с открытым исходным кодом. Основными факторами, которые следует учитывать при выборе основного гипервизора, являются организационные факторы.

Nvidia запустила облачную версию своей платформы Omniverse для 3D-моделирования. Компания также представила Omniverse .

Преодолейте сбои AWS, научившись создавать многорегиональную архитектуру, обеспечивающую отказоустойчивость в случае аварии.

Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

Хороший дизайн базы данных необходим для удовлетворения потребностей обработки в системах SQL Server. На вебинаре консультант Коэн Вербек предложил .

Базы данных SQL Server можно переместить в облако Azure несколькими способами. Вот что вы получите от каждого из вариантов .

В отрывке из этой книги вы познакомитесь с методами LEFT OUTER JOIN и RIGHT OUTER JOIN и найдете различные примеры создания SQL.

ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут принести пользу их .

Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

Подписка на Windows 365 Cloud PC предлагает новый вариант виртуализации настольных компьютеров с некоторыми знакомыми чертами и .

Перенаправление папок может поддерживать среду виртуального рабочего стола с перемещаемыми профилями, предоставляя пользователям единообразие при .

Люди, использующие виртуальный рабочий стол VMware на смартфонах и планшетах Samsung, могут получить доступ к Windows как на устройстве, так и на .

Командлет Remove-ADComputer удаляет компьютер Active Directory.

Параметр Identity указывает удаляемый компьютер Active Directory. Вы можете идентифицировать компьютер по его различающемуся имени, GUID, идентификатору безопасности (SID) или имени учетной записи диспетчера учетных записей безопасности (SAM). Вы также можете установить для параметра Identity переменную объекта-компьютера, например $ , или передать объект-компьютер через конвейер в параметр Identity. Например, вы можете использовать командлет Get-ADComputer для извлечения объекта-компьютера, а затем передать этот объект по конвейеру командлету Remove-ADComputer.

Примеры

Пример 1. Удаление указанного компьютера из Active Directory

Эта команда удаляет указанный компьютер из Active Directory.

Пример 2. Удаление всех компьютеров из указанного расположения с помощью фильтра

Эта команда удаляет все компьютеры в расположении, указанном с помощью параметра Фильтр.

Пример 3. Удаление всех компьютеров из указанного расположения с помощью фильтра

Эта команда удаляет все компьютеры из расположения, указанного с помощью параметра Фильтр. Команда не запрашивает подтверждение.

Пример 4. Удаление компьютера и всех конечных объектов, расположенных в указанном каталоге

Эта команда удаляет компьютер и все конечные объекты, расположенные под ним в каталоге. Обратите внимание, что только несколько объектов-компьютеров создают дочерние объекты, например серверы, на которых запущена служба кластеризации. Этот пример может быть полезен для удаления этих объектов и любых дочерних объектов, принадлежащих им и связанных с ними.

Параметры

Метод проверки подлинности по умолчанию — Negotiate.

Для обычного метода аутентификации требуется подключение Secure Sockets Layer (SSL).

Тип: ADAuthType
Допустимые значения:Negotiate, Basic< /td>
Позиция:Имя
Значение по умолчанию:Нет
Принимать ввод конвейера:False
Допускать подстановочные знаки:False

Запрашивает подтверждение перед запуском командлета.

< /tr>

Указывает учетные данные учетной записи пользователя для выполнения этой задачи. Учетные данные по умолчанию — это учетные данные текущего пользователя, вошедшего в систему, если только командлет не запускается из модуля Active Directory для диска поставщика Windows PowerShell.Если командлет запускается с такого диска поставщика, учетная запись, связанная с диском, используется по умолчанию.

Чтобы указать этот параметр, введите имя пользователя, например User1 или Domain01\User01, или укажите объект PSCredential. Если для этого параметра указать имя пользователя, командлет запрашивает пароль.

Вы также можете создать объект PSCredential с помощью сценария или командлета Get-Credential. Затем вы можете установить параметр Credential для объекта PSCredential.

Если действующие учетные данные не имеют разрешения на уровне каталога для выполнения задачи, модуль Active Directory для Windows PowerShell возвращает завершающую ошибку.

Тип: SwitchParameter
Псевдонимы:cf
Позиция:Имя
Значение по умолчанию:False
Принимать ввод конвейера:False
Допускать подстановочные знаки:False
Тип: PSCredential
Позиция:Имя
Значение по умолчанию:Нет
Принять ввод конвейера:False
Допускать подстановочные знаки:False

  • Выдающееся имя
  • GUID (objectGUID)
  • Идентификатор безопасности (objectSid)
  • Имя учетной записи диспетчера учетных записей безопасности (sAMAccountName)

Командлет ищет объект в контексте именования или разделе по умолчанию. Если заданный идентификатор является отличительным именем, раздел для поиска вычисляется из этого отличительного имени. Если найдено два или более объектов, командлет возвращает непрерывающую ошибку.

Этот параметр также может получить этот объект через конвейер, или вы можете установить этот параметр для экземпляра объекта-компьютера.

Тип: ADComputer
Позиция:0
Значение по умолчанию:Нет
Принять ввод конвейера:Истина
Допускать подстановочные знаки:False

Указывает различающееся имя раздела Active Directory. Отличительное имя должно быть одним из контекстов именования на текущем сервере каталогов. Командлет ищет в этом разделе объект, определенный параметром Identity.

Во многих случаях для параметра Partition используется значение по умолчанию, если значение не указано. Ниже приведены правила определения значения по умолчанию. Обратите внимание, что правила, перечисленные первыми, оцениваются первыми, и как только можно определить значение по умолчанию, дальнейшие правила не оцениваются.

В средах доменных служб Active Directory значение по умолчанию для Partition устанавливается в следующих случаях:

  • Если для параметра Identity задано различающееся имя, значение по умолчанию для Partition автоматически создается на основе этого различающегося имени.
  • При запуске командлетов с диска поставщика Active Directory значение по умолчанию Partition автоматически создается из текущего пути на диске.
  • Если ни один из предыдущих случаев не применим, значением по умолчанию для Partition задается раздел по умолчанию или контекст именования целевого домена.

В средах служб Active Directory облегченного доступа к каталогам (AD LDS) значение по умолчанию для Partition устанавливается в следующих случаях:

  • Если для параметра Identity задано различающееся имя, значение по умолчанию для Partition автоматически создается на основе этого различающегося имени.
  • При запуске командлетов с диска поставщика Active Directory значение по умолчанию Partition автоматически создается из текущего пути на диске.
  • Если у целевого экземпляра AD LDS есть контекст именования по умолчанию, значение по умолчанию Partition устанавливается равным контексту именования по умолчанию. Чтобы указать контекст именования по умолчанию для среды AD LDS, задайте свойство msDS-defaultNamingContext объекта агента службы каталогов Active Directory (DSA) (nTDSDSA) для экземпляра AD LDS.
  • Если ни один из предыдущих случаев не применим, параметр Partition не будет принимать никаких значений по умолчанию.

Указывает экземпляр доменных служб Active Directory для подключения, предоставляя одно из следующих значений для соответствующего имени домена или сервера каталогов. Служба может быть любой из следующих: облегченные доменные службы Active Directory, доменные службы Active Directory или экземпляр моментального снимка Active Directory.

Укажите экземпляр доменных служб Active Directory одним из следующих способов:

Значения доменного имени:

  • Полное доменное имя
  • Имя NetBIOS

Значения сервера каталогов:

  • Полное имя сервера каталогов
  • Имя NetBIOS
  • Полное имя и порт сервера каталогов

Значение по умолчанию для этого параметра определяется одним из следующих методов в порядке их перечисления:


< /p>

Дэнни Мерфи

Отслеживание удаления учетных записей пользователей и компьютеров Active Directory — важная часть вашего плана ИТ-безопасности. Возможно, в вашей организации есть сотни учетных записей пользователей и компьютеров Active Directory, которыми нужно управлять. Если учетная запись пользователя удалена, это означает, что этому конкретному пользователю запрещен доступ к данным, службам, системам и сетевым ресурсам. Точно так же, если учетная запись компьютера удалена, этот конкретный компьютер не сможет использовать серверные программы. Обычно старые учетные записи пользователей и компьютеров необходимо удалять, чтобы очистить Active Directory и устранить потенциальные угрозы безопасности, но иногда может быть удалена действующая учетная запись пользователя/компьютера, что может помешать нормальной работе ИТ-среды.

Понимаете, почему так важно отслеживать все удаления учетных записей в Active Directory? В этой статье я собираюсь показать вам шаги, которые необходимо предпринять для отслеживания удаления учетных записей пользователей и компьютеров в вашей ИТ-инфраструктуре. Мы рассмотрим как нативные методы, так и использование нашего решения для аудита; Lepide Active Directory Auditor (и вы сами можете решить, какой из них вам больше нравится!).

Шаги по отслеживанию удаления учетных записей пользователей и компьютеров с помощью собственного аудита

Шаг 1. Используйте «Редактирование ADSI», чтобы включить аудит

Чтобы отслеживать удаленные учетные записи пользователей и компьютеров, необходимо включить аудит в интерфейсе службы Active Directory (ADSI). Выполните следующие шаги:


  1. Введите «ADSIEdit.MSC» в поле «Выполнить» или в «Командной строке». Нажмите клавишу «Enter» и откройте его консоль.
  2. Щелкните правой кнопкой мыши самый верхний узел на левой панели («Редактирование ADSI»). Рисунок 1. Щелкните правой кнопкой мыши «Редактирование ADSI»

Здесь добавьте запись аудита для пользователей, действия которых вы хотите отслеживать. Если запись аудита уже добавлена, этот шаг можно пропустить.

  • "Полный доступ"
  • «Список содержания»
  • "Читать все свойства"
  • "Разрешения на чтение".

Шаг 2. Просмотр событий в средстве просмотра событий

После включения аудита удаленные объекты компьютеров и пользователей будут регистрироваться в средстве просмотра событий. Выполните следующие шаги для просмотра событий:

  1. Откройте консоль «Просмотр событий» и выберите «Журналы Windows» ➔ «Безопасность».
  2. Найдите идентификатор события: 4726 (удаление учетной записи пользователя) и 4743 (удаление учетной записи компьютера). Эти идентификаторы событий идентифицируют удаление учетных записей пользователей и компьютеров.

На следующих снимках экрана показан идентификатор события 4726 для удаления учетной записи пользователя.

Можно прокрутить вниз, чтобы просмотреть, какая учетная запись пользователя была удалена.


Рисунок 9. Отображение сведений об удаленном пользователе

Аналогичным образом на следующем снимке экрана с кодом события 4743 показана удаленная учетная запись компьютера.


Рисунок 10: Свойства события — удаление учетной записи компьютера

Можно прокрутить вниз, чтобы просмотреть объект компьютера, который был удален.


Рисунок 11. Отображение сведений об учетной записи удаленного компьютера

Отслеживание удаления учетных записей пользователей и компьютеров с помощью Lepide Active Directory Auditor

Решение Lepide для аудита Active Directory позволяет легко просматривать все изменения, внесенные в объекты Active Directory; включая учетные записи пользователей и компьютеров. Он может давать вам мгновенные оповещения о любых изменениях объектов, что позволяет вам действовать быстрее, чтобы смягчить последствия, которые могут возникнуть.

На следующем снимке экрана показан отчет «Пользователь удален». Вы можете выбрать событие, чтобы глубже изучить кто, что, когда и где произошло изменение. На левой панели вы можете увидеть список всех отчетов об аудите Active Directory, которые могут помочь вам получить полное представление об изменениях, происходящих в вашей AD:


Рисунок 12: Отчет об удалении пользователем

Аналогичным образом на следующих снимках экрана показан отчет «Компьютер удален»:


Рисунок 13: Отчет об удалении компьютера

Lepide Active Directory Auditor (часть Lepide Data Security Platform) — это больше, чем просто решение для аудита, это все, что вам когда-либо понадобится для обнаружения и отмены любых нежелательных или несанкционированных изменений в Active Directory. Решение для аудита Lepide AD помогает извлекать удаленные объекты и отменять изменения, внесенные в измененные объекты.Наше решение регулярно делает снимки резервных копий Active Directory через определенные промежутки времени. Вы можете восстановить удаленные и измененные объекты, включая учетные записи пользователей и учетные записи компьютеров, из этих моментальных снимков, даже если удаленные объекты не находятся в состоянии «захоронения» или «логически удаленного».

Заключение

Надеюсь, я выполнил то, что обещал в начале этой статьи. Это означает, что он показывает вам, как отслеживать удаленные учетные записи пользователей и компьютеров в Active Directory (и, надеюсь, демонстрирует, почему Lepide Active Directory Auditor — лучший способ сделать это). Совершенно очевидно, что собственный аудит создает так много журналов, что администраторам может быть трудно извлечь из них какой-либо смысл. Аудитор Active Directory от Lepide, с другой стороны, представляет собой автоматизированное решение, которое активно проверяет, отслеживает и предупреждает об изменениях в Active Directory и объектах групповой политики. Устройтесь поудобнее и позвольте Lepide Active Directory Auditor сделать всю работу!

При добавлении нового компьютера он должен сначала присоединиться к домену. Если вы используете для этого его будущего основного пользователя, он станет владельцем и сможет захватить компьютер, чтобы стать локальным администратором, выполнив четыре простых шага.

Во время внутренних оценок в средах Active Directory мы часто используем BloodHound для поиска путей повышения привилегий, и нам случается находить пользователей с отношением GenericAll к их собственным рабочим станциям. Часто это означает, что ИТ-отдел подключил эти компьютеры нерекомендованным способом.


< /p>

Отношения GenericAll — это открытое приглашение стать локальным администратором на компьютерах после того, как пользователи будут скомпрометированы.

Присоединение компьютеров к домену

По умолчанию любой пользователь, прошедший проверку подлинности, может подключить к домену до 10 компьютеров. Конфигурация GPO «Добавить рабочую станцию ​​в домен» определяет, кто может присоединяться к компьютерам (прошедшие проверку по умолчанию), максимальное количество компьютеров, которое может добавить каждый пользователь, определяется свойством ms-DS-MachineAccountQuota (по умолчанию 10).

Когда компьютеры присоединяются к домену таким образом, присоединившаяся к нему учетная запись получает несколько привилегий на объект компьютера (например, GenericAll ).

Чтобы не давать эти привилегии обычным пользователям, рекомендуется использовать выделенную учетную запись с единственной целью присоединения компьютеров к домену. Он должен иметь право на создание объектов-компьютеров в соответствующей организационной единице (OU). Когда компьютеры присоединяются к этой учетной записи, объекту-компьютеру назначаются различные привилегии ( Owns в BloodHound), и график выглядит следующим образом:


< /p>

Хотя привилегии, предоставляемые в том или ином случае, неодинаковы, учетная запись, присоединившая компьютер к домену, может получить на нем административные привилегии.

Использование

Чтобы получить права администратора на компьютере, учетная запись, которая присоединила его к домену, должна использовать так называемое ограниченное делегирование на основе ресурсов. Этот метод уже подробно описан в Интернете, дополнительные сведения см. в ссылках в конце этого поста.

В основном он состоит из четырех шагов:

  1. Получите доступ к учетной записи (назовем ее ПРИСОЕДИНЯЙТЕСЬ), у которой есть привилегии GenericAll или Owns на компьютере-жертве, называемой VICTIM .
  2. Получить доступ к учетной записи компьютера, которая называется ПОМОЩНИК, например. создав новый с любым авторизованным пользователем или с помощью JOIN или став локальным администратором другого компьютера.
  3. Используйте JOIN, чтобы изменить атрибут msDS-AllowedToActOnBehalfOfOtherIdentity VICTIM и установить для него значение доверия HELPER . Это позволит HELPER выдавать себя за пользователей домена при работе с VICTIM .
  4. Используйте HELPER, чтобы подключиться к VICTIM и выдать себя за пользователя, которого можно делегировать и который является локальным администратором VICTIM , например. администратор домена.

Исправления и рекомендации

Чтобы предотвратить такое воздействие, вам придется запретить пользователям присоединять компьютеры к домену и использовать вместо этого выделенную учетную запись. Сначала удалите аутентифицированных пользователей из конфигурации GPO. Добавьте рабочие станции в домен ( SeMachineAccountPrivilege ):


< /p>

Затем измените значение атрибута ms-DS-MachineAccountQuota с 10 на 0:


< /p>

Теперь вы можете создать выделенную учетную запись с единственной целью и разрешением присоединения компьютеров к домену, предоставив ей разрешение на создание объектов-компьютеров в соответствующей организационной единице или с помощью мастера делегирования управления:


У этой учетной записи должен быть надежный пароль, который регулярно меняется и который должен быть известен только администраторам в отношении разрешений, которые он предоставляет.

Наконец, вы должны защитить каждую учетную запись с правами администратора в целом, установив параметр «Учетная запись конфиденциальна и не может быть делегирована». Это может привести к поломке, если вы используете (не)ограниченное делегирование для этих аккаунтов.


< /p>

Исправить то, что уже сделано неправильно

После того, как это будет сделано, вы можете найти пользователей с привилегиями на своем компьютере в соответствии с предыдущими практиками и удалить разрешения для объекта компьютера.

Для этого вы можете использовать BloodHound для оценки ситуации. После того, как вы загрузили данные из своего домена в приложение, отметьте известные и доверенные учетные записи присоединения как High Value, чтобы исключить их из анализа.

Затем запустите следующий необработанный запрос, чтобы отобразить все списки управления доступом от пользователей к компьютерам. В результате получится график, аналогичный первому снимку экрана, если к компьютерам присоединены учетные записи обычных пользователей:

Заключение

Присоединение компьютеров — это задача, которую вы не хотите доверять всем, поскольку учетная запись присоединяющегося может получить административные привилегии на присоединенном компьютере. Рекомендуемый способ присоединения компьютеров — иметь специальную учетную запись для этой задачи.

В этом посте мы рассмотрели возможности учетных записей, присоединяющих компьютеры к домену, и важность их защиты. Мы также заметили, что, как и во многих других случаях, важно ужесточить конфигурацию вашей Active Directory, поскольку она не поставляется с ограничительной конфигурацией по умолчанию.

Читайте также: