Recuperar os administradores locais no login do usuário e, em seguida, gravar no compartilhamento de rede

Navegue suas respostas
1

Recebi um problema que está fora da minha casa do leme e não tenho certeza da melhor maneira de lidar com isso. O problema que estou tentando resolver é duplo:

  1. Remova as contas com permissões de administrador que não têm justificativa.
  2. Desmarcar permissões de administrador de contas no nível do usuário.

Eu quero executar um script do PowerShell no logon, puxar as contas do grupo Administradores e salvá-las em um csv em uma unidade de rede. Eu escrevi o script e o testei localmente, ele funciona perfeitamente. No entanto, a parte que desejo escrever só é acessível à equipe de segurança cibernética. Acredito que, se eu executar o script como a conta NT AUTHORITY / SYSTEM, também poderei gravar no compartilhamento de rede sem problema.

Então, minhas perguntas:

  1. Preciso definir esse script como um script de GPO para garantir que ele use a conta certa?
  2. Estou correto em afirmar que o NT AUTHORITY / SYSTEM será capaz de puxar as contas que eu quero e gravar no compartilhamento de rede?
  3. Existe outra maneira de fazer isso que não estou considerando?
por Tchotchke 21.06.2017 / 18:13

1 resposta

1

Item 1 - Acho que entendi sua pergunta. Você está perguntando sobre um script definido em um GPO versus um script definido no campo de script de login do usuário no AD? Então você está no caminho certo, mas um pouco errado. Um script de login do GPO definido na Configuração do usuário (ou um script de login do usuário do AD) é executado como o usuário - ele é executado no login desse usuário, portanto, ele é executado como o usuário. Um script de inicialização de máquina, definido em um GPO de Configuração do Computador, será executado como a conta NT AUTHORITY / SYSTEM da estação de trabalho local.

Item 2 - não correto, NT AUTHORITY / SYSTEM tem apenas direitos no sistema local em que está sendo executado - em seu cenário, essa é a estação de trabalho. Essa conta não terá direitos para o compartilhamento de rede. Se você estiver executando como um script de inicialização, assim como SYSTEM, poderá permitir que o GUEST seja capaz de gravar nesse compartilhamento e pasta, mas não ler. Se você estiver executando como um script de login, poderá permitir que "Usuários do domínio" escrevam, mas não leiam.

Em qualquer cenário, desde que cada instância do script esteja gravando em um CSV único, talvez o nome da estação de trabalho em execução, possivelmente concatenado com a data e hora, seja bom.

Item 3 - como o JScott disse, você pode definir isso em Grupos Restritos, em vez de investigar e corrigir manualmente. É melhor definir o que você quer na política do que aplicar band-aids.

EDITAR:

Item 3 opção 2 - escreva ou encontre uma função para conectar-se remotamente a uma máquina Windows e despejar os membros (recursivamente) do grupo Administradores local. Crie uma matriz de todas as máquinas no seu domínio. Como uma conta com privilégios de administrador, em uma máquina com acesso a todas as máquinas, execute essa função no array, talvez com algumas verificações / logs inteligentes de máquinas que não podem ser acessadas, para que você possa executá-las novamente e / ou limpar seu AD se houver máquinas obsoletas. Exporte a saída para seus arquivos CSV.

    
por 21.06.2017 / 19:04

Tags

arquivos Rsync-de problemas Somente o primeiro host virtual de proxy reverso funciona