Как это не странно, но в Active Directory имена администраторов не являются конфиденциальной информацией.
Посмотреть кто является администратором домена можно с помощью команды.
Net group "Domain Admins" /domain
Требуемые привелегии: команда должна выполняться с правами пользователя домена или выше.
На этом выбор главных целей атаки в AD заканчивается даже не успев начаться.
Все-таки архитектурные решения Windows довольно странные.
Даже в групповых политиках есть критические уязвимости, которые никто не закрывает годами.
Например в AD, основанной на Windows 2008 и выше (в том числе и Windows 2012R2) есть параметр политики, которым можно задать пароль для локального администратора на компьютерах, которые входят в домен. Но данный параметр хранится практически в открытом виде. Точнее он зашифрован, причем с помощью AES256, только вот ключ шифрования хранится в открытых источниках, да и сам файл доступен почти всем.
А теперь попробуем проэксплуатировать эту уязвимость.
Для начала создадим политику, в которой будет задаваться пароль локального администратора для членов домена.
Далее в политике перейдем по адресу:
Конфигурация компьютера – Настройка – Параметры панели управления – Локальные пользователи.
И создадим нового пользователя.
Как это сделать – видно на скриншоте.
После нажатия ок, нас предупредят, что это все не безопасно (но кто на это смотрит…).
Гораздо удобнее управлять принтерами пользователей централизованно, чем вручную устанавливать принтеры каждому пользователю.
Для того чтобы организовать общий доступ к принтерам нужно сначала установить все принтеры в AD и опубликовать их. Если структура компании не слишком территориально разрозненная – рекомендуем сделать для этого один ответственный за публикацию сервер (или группу серверов), а принтеры подключать к нему по сети (благо сейчас даже самые простые принтеры имеют локальную сеть на борту).
Публикуем принтер в AD.
Для этого открываем свойства нужного принтера в системе и, переходим на вкладку доступ и ставим галочки напротив пунктов:
Общий доступ к данному принтеру
Прорисовка заданий печати на клиентских компьютерах
Внести в Active Directory
Так же нажимаем кнопку Дополнительные драйверы… и проверяем есть ли драйвера для x86 и x64 систем. Если нет – то добавляем. Это делается для совместимости со всеми рабочими станциями в сети.
Читать далее Добавление принтеров пользователям через групповые политики
Иногда бывает нужно иметь права локального администратора на серверах или рабочих станциях. Например для того, чтобы сотрудники Help Desk могли администрировать только рабочие станции или для предоставления доступа внешнему администратору только к администрируемому им серверу.
Для этого можно сделать пользователя домена локальным администратором нужных серверов или рабочих станций.
Чтобы это сделать:
В оснастке Active Directory – Пользователи и компьютеры (dsa.msc) – создаем группу которая будет иметь права локальных администраторов (назовем ее HelpDesk).
После этого в этой же остнастке создадим подразделение и перенесем нужные рабочии станции в него.
Теперь переходим к оснастке Управление групповыми политиками (gpedit.msc)
Находим в левой колонке созданное подразделение->нажимаем правой клавишей мыши->Создать объект групповой политики в этом домене и связать его…
Даем понятное имя новой групповой политике и нажимаем ОК.
Политика создана. Теперь в нее нужно добавить нужные параметры.
Читать далее Пользователь домена – локальный администратор
Очень удобно, когда все сервера и рабочие станции в AD имеют одинаковое время. Это избавляет от кучи проблем в структуре Active Directory.
Требования для статьи:
Будем считать, что у нас есть отдельные груповые политики для контроллера домена (или другого сервера, который будет выполнять эту роль) и для все остальных серверов и рабочих станций.
Синхронизацию сервера времени настраиваем с внешним сервером. Поэтому для сервера, который является центральным сервером времени, нужно открыть вовне порт 123, а так же для все остальных серверов и ПК должен быть открыт порт 123 во внутренней сети (NTP работает по этому порту).
Для того, чтобы это сделать открываем групповые политики
gpedit.msc
И переходим Конфигурация компьютера->Административные шаблоны->Система->Службы времени Windows->Поставшики времени
Читать далее Настройка синхронизации времени в домене Active Directory (через групповые политики)
Для включения компьютера с Ubuntu в AD есть чудесный пакет likewise-open5.
apt-get install likewise-open5
перед включением в домен иногда нужно бывает отключить avahi-daemon для корректного распознавания .local