Трюк 1. Обходим загрузку политик
Давай разберемся, как вообще каждая машина в локальной сети получает групповые политики из домена? Процесс создания групповых политик можно разбить на следующие условные этапы:
- Админ создает объект групповой политики.
- Привязывает его к каким-то элементам домена.
- При входе в домен комп отправляет запрос на получение политик и получает их в ответ от домена.
- При входе пользователя выполняется аналогичный запрос, но уже по пользовательским политикам.
Итак, что мы здесь видим: политики подгружаются на стадии входа в систему. Здесь есть небольшая фича. По умолчанию обновление политик выполняется каждые 5 минут. Но если политики не были получены во время входа в систему, то обновляться они не будут! Вырисовывается элементарный способ, как эту особенность можно использовать:
- Вынимаем патч-корд из компа.
- Включаем комп и логинимся под своей учеткой.
- Подключаем патч-корд обратно.
Даже при отсутствии доступа в сеть мы сможем войти в домен, так как винда ранее закешировала наш логин и пароль (это произошло во время предыдущего входа в систему). Но уже без применения групповых политик. При этом мы спокойно сможем использовать ресурсы сети, так как патч-корд к этому моменту будет на месте, а со всякими авторизациями на удаленных ресурсах справится сама винда. Стоит добавить, что в безопасном режиме винды групповые политики вообще не действуют. Комментарии, я думаю, излишни.
Трюк 3. Обходим SRP
Увы, дальше на нашем пути возникает другой механизм ограничений — SRP (Software Restriction Policies). Это группа политик, с помощью которых админ может ограничить список ПО, которое может запускать пользователь, через черный и белый списки. Blacklist и Whitelist определяются с помощью правил, которые можно задавать несколькими способами: по зонам и по сертификатам (первые два варианта практически не используются), а также по пути до файла и по его хешу. О том, что в системе действуют политики SRP, указывает соответствующий пункт в реестре — со значением большим 0, который, как уже было сказано выше, проверяется при запуске процесса. Наша задача, соответственно, отрубить эту проверку внутри запускаемого процесса. Марк Руссинович еще в далеком 2005 году опубликовал пост в блоге об обходе SRP и представил тулзу GPdisable. Она производит DLL-инъекцию в заданный процесс, подгружая специальную DLL’ку. Когда процесс попытается получить значение ключа реестра , то есть будет проверять присутствие политик SRP, данная библиотека перехватит запрос и возвратит STATUS_OBJECT_NAME_NOT_FOUND. Таким образом, процесс думает, что все ОК и SRP политики в системе не действуют. После покупки компании Sysinternals Майкрософтом GPdisable перестал был официально доступным (но его по-прежнему легко найти в Сети. Есть еще более продвинутые решения. Утилита GPCul8or от Eric’a Rachner’a выполняет аналогичные функции, но доступна в исходниках. Что это нам дает? Мы можем добавить в GPCul8or любые другие значения реестра винды (DisableTaskMgr, ProxySettingsPerUser к примеру) и таким образом обойти все возможные ограничения политик. Какие именно значения, спросишь ты. Тебе в помощь RegMon от Марка Руссиновича, хотя, по сути — это все значения из ветки Policies. Другой оригинальный способ в своем блоге опубликовал Дидье Стивенс. Используя свою тулзу bpmtk (Basic Process Manipulation Tool Kit), он предложил прямо в памяти процесса изменять значение необходимого для групповой политики ветки реестра.
Способы исправить ситуацию «Этот метод входа запрещено использовать» при входе в Windows
В зависимости от конкретной ситуации возможны разные подходы. Прежде всего, если речь идёт о компьютере или ноутбуке организации, правильнее всего будет обратиться к системному администратору или иному сотруднику, отвечающему за настройки оборудования. В остальных случаях возможны два основных сценария:
- На компьютере доступна какая-либо дополнительная учетная запись с правами администратора, вход под которой возможен. В этой ситуации решение будет более простым.
- На компьютере отсутствуют иные учетные записи с правами администратора, с которыми можно зайти в Windows.
По порядку рассмотрим возможные решения в каждом из указанных случаев.
Сброс локальных политик безопасности Windows
Локальные политики безопасности настраиваются с помощью отдельной консоли управления
. Если проблемы с компьютером вызваны «закручиванием гаек» в локальной политике безопасности, и если у вас все еще есть доступ к системе и права администратора, вам сначала следует попробовать сбросить локальную политику безопасности Windows до значений по умолчанию. Для этого в командной строке с правами администратора запустите:
- Для Windows 10, Windows 8.1 / 8 и Windows 7:
- Для Windows XP:
Перезагрузите компьютер.
Если у вас по-прежнему возникают проблемы с политиками безопасности, попробуйте вручную переименовать файл контрольной точки базы данных локальной политики безопасности% windir% \ security \ database \ edb.chk.
Выполните команду:
Перезагрузите Windows с помощью команды выключения:
Проверьте и устраните проблемы, которые мешают вам войти в Windows.
Теперь проблема с методом «Войти» должна быть решена. Но если нет, то ошибка может быть вызвана какой-то системной ошибкой. Теперь простой способ избавиться от него — просканировать компьютер и исправить любые проблемы, которые могут возникнуть.
В этом случае вы можете использовать инструмент проверки диска (CHKDSK) для сканирования и устранения системных проблем.
Вот шаги, которые вам необходимо выполнить:
- Тип CMD в строке поиска меню «Пуск».
- Щелкните правой кнопкой мыши результат наилучшего совпадения и выберите Запустить от имени администратора.
- Введите следующую команду и нажмите Enter:
chkdsk C: /f
В данном случае она представлена C: буква жесткого диска. Если вы установили Windows на другой диск, замените его правильной буквой жесткого диска.
После завершения сканирования перезагрузите устройство, чтобы сохранить изменения. Проверять Как проверить и восстановить поврежденные файлы Windows через Powershell.
Вы не можете получить гостевой доступ к общей папке без проверки подлинности
Начиная с версии Windows 10 1709 (Fall Creators Update) Enterprise и Education пользователи стали жаловаться, что при попытке открыть сетевую папку на соседнем компьютере стала появляться ошибка:
Вы не можете получить доступ к этой общей папке, так как политики безопасности вашей организации блокируют гостевой доступ без проверки подлинности. Эти политики помогают защитить ваш компьютер от небезопасных или вредоносных устройств в сети.
An error occurred while reconnecting Y: to \nas1share Microsoft Windows Network: You can’t access this shared folder because your organization’s security policies block unauthenticated guest access. These policies help protect your PC from unsafe or malicious devices on the network.
При это на других компьютерах со старыми версиями Windows 8.1/7 или на Windows 10 с билдом до 1709, эти же сетевые каталоги открываются нормально. Эта проблем связана с тем, что в современных версиях Windows 10 (начиная с 1709) по умолчанию запрещен сетевой доступ к сетевым папкам под гостевой учетной записью по протоколу SMBv2 (и ниже). Гостевой (анонимный) доступ подразумевают доступ к сетевой папке без аутентификации. При доступе под гостевым аккаунтом по протоколу SMBv1/v2 не применяются такие методы защиты трафика, как SMB подписывание и шифрование, что делает вашу сессию уязвимой против MiTM (man-in-the-middle) атак.
При попытке открыть сетевую папку под гостем по протоколу SMB2, в журнале клиента SMB (Microsoft-Windows-SMBClient) фиксируется ошибка:
Source: Microsoft-Windows-SMBClient Event ID: 31017 Rejected an insecure guest logon.
В большинстве случае с этой проблемой можно столкнуться при использовании старых версий NAS (обычно для простоты настройки на них включают гостевой доступ) или при доступе к сетевым папкам на старых версиях Windows 7/2008 R2 или Windows XP /2003 с настроенным анонимным (гостевым) доступом (см. таблицу поддерживаемых версий SMB в разных версиях Windows).
В этом случае Microsoft рекомендует изменить настройки на удаленном компьютере или NAS устройстве, который раздает сетевые папки. Желательно переключить сетевой ресурс в режим SMBv3. А если поддерживается только протокол SMBv2, настроить доступ с аутентификацией. Это самый правильный и безопасный способ исправить проблему.
В зависимости от устройства, на котором хранятся сетевые папки, вы должны отключить на них гостевой доступ.
- NAS устройство – отключите гостевой доступ в настройках вашего NAS устройства (зависит от модели);
- Samba сервер на Linux — если вы раздаете SMB каталог с Linux, в конфигурационном файле smb.conf в секции нужно добавить строку:А в секции с описанием сетевой папки запретить анонимный доступ:
- В Windows вы можете включить общий доступ к сетевым папкам и принтерам с парольной защитой в разделе Control PanelAll Control Panel ItemsNetwork and Sharing CenterAdvanced sharing settings. Для All Networks (Все сети) в секции “Общий доступ с парольной защитой” (Password Protected Sharing) имените значение на “Включить общий доступ с парольной защитой” (Turn on password protected sharing). В этом случае анонимный (гостевой) доступ к папкам будет отключен и вам придется создать локальных пользователей, предоставить им доступ к сетевым папкам и принтерам и использовать эти аккаунты для подключения к общим папкам на этом компьютере.
Есть другой способ – изменить настройки вашего SMB клиента и разрешить доступ с него на сетевые папки под гостевой учетной записью.
Этот способ нужно использовать только как временный (!!!), т.к. доступ к папкам без проверки подлинности существенно снижает уровень безопасности ваших данных.
Чтобы разрешить гостевой доступ с вашего компьютера, откройте редактор групповых политик (gpedit.msc) и перейдите в раздел: Конфигурация компьютера -> Административные шаблоны -> Сеть -> Рабочая станция Lanman (Computer Configuration ->Administrative templates -> Network (Сеть) -> Lanman Workstation). Включите политику Enable insecure guest logons (Включить небезопасные гостевые входы).
В Windows 10 Home, в которой нет редактора локальной GPO, вы можете внести аналогичное изменение через редактор реестра вручную:
HKLMSYSTEMCurrentControlSetServicesLanmanWorkstationParameters “AllowInsecureGuestAuth”=dword:1
Или такой командой:
Устраните проблемы с оборудованием, из-за которых вы не можете войти в Windows.
В некоторых редких случаях вы можете столкнуться с проблемой, связанной с внутренними компонентами. В этом случае вам может помочь средство устранения неполадок оборудования и устройств в Windows.
Итак, давайте посмотрим, как вы можете использовать его для решения проблемы «входа в систему»:
- Нажмите на Win + I для доступа к системным настройкам.
- Тип Устранение неполадок с настройками в строке поиска и выберите подходящий вариант.
- Выберите вариант Дополнительные средства устранения неполадок Справа.
- Выберите справа средство устранения неполадок оборудования и оборудования, а затем нажмите кнопку Запустите средство устранения неполадок.
Изменяем параметры Windows в программе O&O ShutUp10
Многие неопытные пользователи не хотят связываться с командной строкой. Они могут воспользоваться другим вариантом для решения проблемы с отображением сообщения «Некоторыми параметрами управляет ваша организация» и ограничением возможности воспользоваться некоторыми настройками параметров Windows 10.
На помощь придет сторонняя программа — O&O ShutUp10 от известного производителя ПО из Германии. Бесплатная программа O&O ShutUp10 предназначена для и изменения настроек безопасности и конфиденциальности Windows 10, отключения «шпионских» параметров Windows.
Программа O&O ShutUp10 работает на русском языке и не требует установки на компьютер. Я рекомендую использовать это приложение, если на ПК изменялись настройки с помощью сторонних программ. Перед использованием программы создайте точку восстановления Windows.
В программе O&O ShutUp10 можно изменить параметры Windows двумя способами.
1 способ:
- Запустите программу O&O ShutUp10 от имени администратора.
- В меню «Опции» выберите пункт «Отменить все изменения (вернуть “настройки по умолчанию”)».
- Закройте программу, перезагрузите компьютер.
Все параметры Windows 10 станут доступными для применения изменений.
2 способ:
В окне программы O&O ShutUp10, запущенной от имени администратора, самостоятельно отключите настройки, препятствующие обновлениям, сбору информации, касающиеся безопасности компьютера. В этом случае, пользователь изменяет только некоторые настройки с помощью программы, оставляя другие параметры включенными.
В соответствующих разделах приложения передвиньте переключатель для отключения опций, в данный момент времени включенных в Windows 10. Цветовая индикации в программе O&O ShutUp10 работает следующим образом:
- красный цвет обозначает, что данная опция отключена (соответствует настройке по умолчанию);
- зеленый цвет сигнализирует о том, что в Windows ограничена работа определенной функции ОС.
Завершите работу программы, выполните перезагрузку ПК для применения изменений.
Сброс примененных настроек доменных GPO
Несколько слов о групповых политиках домена. Если компьютер включен в домен Active Directory, некоторые его параметры задаются объектами групповой политики домена.
Совет. Если вам необходимо полностью заблокировать применение доменных политик на определенном компьютере, рекомендуем статью Отключить применение доменных GPO в Windows.
Файлы register.pol всех применяемых групповых политик домена хранятся в каталоге% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies. Каждая политика хранится в отдельном каталоге с GUID политики домена. Когда компьютер исключается из домена, файлы политики домена register.pol на компьютере удаляются и, как следствие, не загружаются в реестр. Однако иногда, несмотря на исключение компьютера из домена, параметры политики могут по-прежнему применяться к компьютеру.
Этим файлам register.pol соответствуют следующие разделы реестра:
- HKLM \ Программное обеспечение \ Политики \ Microsoft
- HKCU \ Программное обеспечение \ Политики \ Microsoft
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Объекты групповой политики
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies
Историю примененных версий доменных политик, сохраненных на клиенте, можно найти в ветках:
- HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History\
- HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Group Policy \ History\
Локальный кеш объектов групповой политики, применяемых к домену, хранится в каталоге C: \ ProgramData \ Microsoft \ Group Policy \ History. Удалите файлы в этом каталоге с помощью команды:
Кроме того, чтобы удалить объекты групповой политики домена, вам необходимо удалить каталог% windir% \ System32 \ GroupPolicy \ DataStore \ 0 \ SysVol \ contoso.com \ Policies и удалить указанные ветки реестра (настоятельно рекомендуется выполнить резервное копирование удалил файлы и личные ветки !!!).
Затем запустите команду:
Совет. Описанные выше методы позволяют сбросить все параметры групповой политики во всех версиях Windows. Все настройки, сделанные с помощью редактора групповой политики, отменяются, но любые изменения, внесенные в реестр напрямую через regedit.exe, файл REG, через GPP домена или каким-либо другим способом, не возвращаются. Источник изображения: winitpro.ru
Трюк 5. Используем исключения
Часто можно обойтись и без подобных ухищрений, если знать тонкости политик, в результате которых их действия распространяются:
-
на программы, запущенные от имени учетной записи SYSTEM;
-
драйверы и другие приложения уровня ядра;
-
макросы внутри документов Microsoft Office;
-
программы, написанные для общей многоязыковой библиотеки времени выполнения (Common Language Runtime).
Итак, процессы от SYSTEM не контролируются. Первый финт ушами: если есть доступ к какому-то ПО, запущенному под такой учеткой, — атакуем. Например, нажимаем Win+U — запускаются «специальные возможности» (лупа и экранная клавиатура). Utilman.exe (процесс «специальных возможностей») при этом запускается от SYSTEM. Далее идем там в «Справку». Она тоже должна открыться с нужными привилегиями, так как запущена в контексте процесса c правами SYSTEM. Если винда не самая новая (до Vista), то кликаем правой кнопкой на синей верхней панельке «Jump to url», там печатаем «C:» и получаем настоящий встроенный explorer. Если более новая, то можно по правому клику в тексте хелпа просмотреть исходный код (View Source) через блокнот, откуда далее добраться до файлов. Или другой вариант — «добавить» новый принтер, получив опять же доступ к листингу файлов.
Другая интересная категория — макросы внутри документов Microsoft Office. Это страшное дело. Попробуем для начала реализовать запуск ПО. Хотя если запуск заблочен обычными политиками (не SRP), как, например, блокировкой диспетчера задач, то этот обход не сработает. Но нам-то главное — запустить специальный exe’шник. Поэтому в любом документе смело создаем следующий макрос и пробуем запустить его:
В результате, как ты можешь догадаться, мы получаем запущенный exe. Хардконный метод предложил опять же Дидье Стивенс. Используя в макросе MS Excel функции VirtualAlloc, WriteProcessMemory и CreateThread, он сумел подгрузить шеллкод из макроса в память процесса. Данный шеллкод подгружает DLL’ку в память процесса, а DLL’ка — не что иное, как cmd.exe. Кстати, ее исходники взяты из проекта ReactOS. Как я уже сказал, SRP может препятствовать запуску DLL’ек (хотя и не делает этого по умолчанию), но если подгрузку библиотек осуществлять, используя функцию LoadLibraryEx с LOAD_IGNORE_CODE_AUTHZ_LEVEL вместо LoadLibrary, то проверка на принадлежность подгружаемой dll к white-листу не происходит!
Показать список всех локальных пользователей на экране входа в Windows
По умолчанию современные версии Windows (протестированные на Windows 11 21H2 и Windows 10 21H1) всегда отображают список локальных включенных пользователей в нижнем левом углу. Не отображаются только скрытые (см. Ниже) или отключенные пользователи.
Для входа в компьютер пользователю достаточно нажать на нужную учетную запись и указать свой пароль. Он работает только на компьютерах, не входящих в домен Active Directory.
Если для учетной записи пользователя не установлен пароль, система автоматически войдет в систему, даже если автоматический вход не настроен.
Совет. Вместо стандартных значков пользователей вы можете просматривать фотографии их аватаров из Active Directory.
Если список локальных пользователей не отображается на экране входа в систему компьютера, проверьте настройки следующих локальных политик (следующие политики должны быть установлены в локальном редакторе GPO).
- Интерактивный вход в систему: не показывать последний вход в систему =(Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности)
- • Перечислить локальных пользователей на компьютерах, присоединенных к домену =(Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ / Конфигурация компьютера -> Административные шаблоны -> Доступ): политика отображает список локальных пользователей на компьютерах домена
- Не перечислять зарегистрированных пользователей на компьютере, присоединенном к домену =(в том же разделе GPO)
Перезагрузите компьютер, чтобы применить новые параметры групповой политики.
В некоторых предыдущих версиях Windows 10 (1609–1903) была другая проблема с отображением всех локальных пользователей на экране приветствия Windows.
Для просмотра списка пользователей необходимо изменить значение параметра Enabled на 1 в разделе реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Authentication \ LogonUI \ UserSwitch. Экран параметра Windows 10 на 0.
Чтобы решить эту проблему, необходимо было создать задание планирования, которое изменяло значение параметра на 0 при каждом входе в систему.
Вы можете создать новый процесс планирования с помощью PowerShell.
Убедитесь, что новая задача отображается в Планировщике задач Windows (
).
Войдите снова как пользователь. Процесс должен запуститься автоматически и изменить значение записи реестра Enabled на 1. Используйте Get-ItemProperty, чтобы проверить текущее значение параметра. Как видите, он равен единице:
Этот метод входа запрещено использовать»
Ответы
Вы делаете неправильно.
После выбора политики нужно через локальное меню по команде «Изменить» запустить ее редактор,
перейти в узел Конфигурация компьютера/Политики/Конфигурация Windows/Параметры безопасности/Локальные политики/Назначение прав пользователя, найти там политику Локальный вход в систему и отредактировать её.
PS Названия разделов политики пишу по памяти, могут быть некоторые неточности.
- Предложено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 8 июля 2014 г. 13:55
- Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 17 июля 2014 г. 11:09
Все ответы
Проверьте групповые политики.
Может быть ошибочно указали группу для применения.
Куда глядеть в групповых подскажите?
профан в этом деле, так что извините. Дефолтные групповые у меня и только единственная политика которая отвечает за возможность управления подключенных клиентов через терминалы
сервер, поднят домен, в нем созданные пользователи, которые будут подключаться к TS, так вот пользователи могут подключаться к TS, а когда я после win+l хочу зайти под пользовательской учеткой (это я имел ввиду под словом «локально») то получаю ошибку. Админ учетка без данной ошибки входит в свою учетку.
Да, был доступ, заходил без проблем под пользователем.
Смотрите в консоли управления групповой политикой, узел результирующая политика, какая именно политика устанавливает у вас право пользователя Logon locally. Скорее всего, это Default Domain Controller Policy: в ней, насколько я помню, это право по умолчанию предоставляется только ряду привилегированных групп (Adminstrators, Server Opertors и т.п.), но не всем пользователям (Users, Domain Users).
Трюк 7. Используем другого пользователя
Есть способ не подпустить подгрузки политик, но для этого трика нам понадобятся логин и пароль другого пользователя. Суть в том, что нам надо войти в систему «еще раз», но не под собой. Тут два варианта:
-
<Shift> + правый клик на запускаемом файле, далее в контекстном меню выбираем «Run as…».
-
Через консоль набираем команду: runas /noprofile <название exe-файла>.
Другой пользователь, под которым ты запускаешь программку, как и ты, может быть обычным пользователем с ограниченными правами. Но политики на запущенную программку уже не будут действовать! См. рисунок.
На нем пользователь test_gpo3 не может запустить regedit из-за политик. Но, запустив под test_gpo2 любой exe’шник (диспетчер задач например), он уже ничем не ограничен и поэтому может запустить regedit. Кроме того, если у нас есть возможность удаленного входа в систему (по RDP, например), то мы можем провести аналогичный финт, но только с одной учеткой (демонстрацию можешь посмотреть в этом видео).
Как скрыть имя последнего пользователя на экране приветствия Windows?
Конечные пользователи чувствуют себя комфортно, когда имя учетной записи отображается на экране входа в Windows и нет необходимости вводить его вручную. Но это облегчает злоумышленнику доступ к компьютеру. Для входа в систему ему просто нужно найти правильный пароль. Для этого существуют различные способы социальной инженерии, грубой силы или банальной липкой бумажки с паролем на мониторе.
вы можете отключить отображение последнего имени пользователя на экране входа в Windows с помощью объекта групповой политики. Откройте домен
) или редактор локальной политики (gpedit.msc) и перейдите в Конфигурация компьютера -> Конфигурация Windows -> Настройки безопасности -> Локальные политики -> Настройки безопасности (Конфигурация компьютера -> Настройки безопасности Windows -> Настройки безопасности – > Локальные политики -> Параметры безопасности). Включить интерактивный вход: не отображать политику фамилий пользователя. По умолчанию эта политика отключена.
Вы можете скрыть последнее имя пользователя с экрана входа в систему через реестр. Для этого в ветви HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System создайте параметр dontdisplaylastusername типа DWORD и значения 1.
Имя пользователя также отображается на компьютере, если его экран заблокирован (нажатием Win + L или через блокировку экрана GPO). Вы можете скрыть свое имя пользователя на заблокированном компьютере. Для этого в том же разделе объекта групповой политики необходимо включить политику «Интерактивный доступ: просматривать информацию о пользователе при заблокированной сессии» и выбрать значение «Не отображать информацию о пользователе» (Не просматривать информацию о пользователе. Информация).
Эта политика связана с разделом реестра в той же ветке DontDisplayLockedUserId со значением 3.
Другие возможные значения этого параметра:
- 1 – показать отображаемое имя, домен и имя пользователя;
- 2 – показывать только отображаемое имя;
- 3 – не отображать информацию о пользователе.
На экране входа в систему и на экране блокировки Windows теперь отображаются пустые поля для имени пользователя и пароля.
Изменяем атрибут LogonWorkstations с помощью PowerShell
Вручную ограничивать вход пользователей на компьютеры домена довольно утомительно. С помощью PowerShell можно автоматизировать это действия. Список компьютеров, на которые разрешено входить пользователю хранится в атрибуте пользователя в AD – LogonWorkstations. Например, наша задача разрешить определенному пользователю входить только на компьютеры, чьи имена содержатся в текстовом файле computers.csv
Скрипт может выглядеть так (сначала загружаем модуль AD для Powershell):
Import-Module ActiveDirectory$ADusername = ‘aapetrov’$complist = Import-Csv -Path «C:PScomputers.csv» | ForEach-Object <$_.NetBIOSName>$comparray = $complist -join «,»Set-ADUser -Identity $ADusername -LogonWorkstations $comparrayClear-Variable comparray
С помощью следующей команды можно вывести список компьютеров, на которые разрешено входить пользователю можно с помощью командлета Get-ADUser.
Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations
Либо можно посмотреть список компьютеров в консоли ADUC.
Чтобы добавить в список новый компьютер, воспользуйтесь такой командой:
$Wks = (Get-ADUser dvivannikov -Properties LogonWorkstations).LogonWorkstations$Wks += «,newpc»Set-ADUser aapetrov -LogonWorkstations $Wks
Трюк 8. Вспоминаем про HTA
Последний хинт касается неофициальных исключений, на которые не действуют групповые политики. Вадимc Поданс написал в блоге отличную серию постов, посвещенных SRP-политикам. В частности, он обнаружил отличный путь для их обхода и запуска произвольного кода с использованием приложения HTA (HTML Application).
Итак, последовательность действий:
-
Создаем файлик с примерно таким текстом:
-
Сохраняем его с расширением .hta (например, execute_this.hta).
-
Создаем ярлык для него.
-
Открываем ссылку — и hta запускается.
Надо ли говорить, что вместо вызова безобидного MessageBox’а VB-код может сделать в системе что угодно? Политики SRP должны проверять весь код, который может исполняться, в том числе и всевозможные скрипты. Однако из-за тонкостей работы групповых политик данный обход работает. К аналогичным «глюковатым» расширениям помимо HTA Вадимс относит REG, MSC, HTA, CHM. Точно так же ситуация наблюдается и с com-файлами (в том числе всякими олдскульными ДОС’овскими программами, которые все еще разбросаны в папке винды). Они не учитывают правила групповых политик, так как работают в виртуальной машине DOS.
Ограничиваем вход на компьютеры с помощью GPO
В больших доменах использовать свойство пользователя LogonWorkstations для ограничения доступ пользователей к компьютерам нецелесообразно из-за ограничений и недостаточной гибкости. Как правило, чтобы запретить пользователям входить на некоторые ПК? используют групповые политики.
Можно ограничить список пользователей в локальной группе Users с помощью политики Restricted Groups (Windows Settings -> Security Settings), но мы рассмотрим другой вариант.
Есть две групповые политики, которые находятся в разделе Computer Configuration -> Policies -> Security Settings -> Local Policies -> User Rights Assignment (Конфигурация пользователя -> Политики -> Параметры безопасности -> Локальные политики -> Назначение прав пользователя):
- Deny log on locally (Запретить локальный вход) – позволяет запретить локальный вход на компьютеры для определенных пользователей или групп. ;
- Allow log on locally (Локальный вход в систему) – содержит список пользователей и групп, которым разрешено входить на компьютер локально.
Например, чтобы запретить пользователям определенной группы входить на компьютеры в некой OU, вы можете создать отдельную группу пользователей, добавить ее в политику Deny log on locally и назначить ее на OU с компьютерами, доступ к которым вы хотите ограничить.
В больших доменах можно использовать комбинацию этих политик. Например, вы хотите запретить пользователям входить на компьютеры других OU.
Для этого в каждой OU нужно создать группу безопасности, куда нужно включить всех пользователей OU.
Import-module ActiveDirectory$rootOU = “OU= Users,OU=MSK,DC=winitpro,DC=ru”$group = “corpmsk-users”Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object
Затем нужно включить политику Allow log on locally, добавить в нее эту группу (+ различные администраторские группы: Domain Admins, администраторы рабочих станций и прочее) и назначить политику на OU с компьютерами. Таким образом вы разрешите только пользователям конкретного OU входить на компьютеры.
При попытке входа пользователя, которому не разрешен локальный вход, появится окно с предупреждением:
Несколько важных моментов касательно данных политик:
- Не стоит применять данные политики, для ограничения доступа к серверам и тем более к контроллерам домена.
Режим восстановления на DC системы Server 2012 R2
12 декабря, 2018 kevich
Режим восстановления контроллера домена — это такой режим где в случае каких-либо проблем с обычным доступом к домен контроллеру зайти не получаются, к примеру у меня было ранее несколько дней назад. При попытке зайти по RDP на DC(под управлением Windows Server 2012 R2 Std
- Текущий режим работы домена: Windows Server 2008 R2
- Текущий режим работы леса: Windows Server 2008 R2)
я получал вот такие вот сообщения:
Первым делом я решил, что нужно зайти в режим восстановления контроллера домена,
перезагружаю домен контроллер и в момент когда он загружается необходимо нажимать клавишу F8 (Advanced Boot Options), после перейти в меню под названием: Directory Services Repair Mode. Затем нажать Ctrl + Alt + Del и попробовать авторизоваться. Если же все равно не пускает, то применив ранее опубликованную заметку где показано, как получить права системы над системой, изменяю пароль на учетную запись: Login: Administrator и Pass: к примеру 712mbddr@
Авторизуюсь в режиме восстановления контроллера домена:
и нажимаю клавишу Enter
В данном режиме восстановления работоспособности домена в моем случае с указанными ошибками выше, я проверил что:
- Сервер времени развернутый на нем правильно сконфигурирован.
- Проверил системные ошибки и наткнулся на сообщение с Event ID 1202посредством лога: C:\WINDOWS\SECURITY\LOGS\WINLOGON.LOG обнаружил, что доменная группа Domain Admins почему не состоит в группе локальных администраторов Bultin\Administrators, исправил.
- Удалил неисправный домен контроллер опираясь на свои заметки рубрики Server 2008 R2
- Проверил домен на ошибки с помощью dcdiag
- Проверил репликацию и поправил ее.
После все проделанного домен восстал из мертвых и заработал, как и должен работать, а для себя я вынес, что мониторить его работоспособность это не просто прихоть, а полезное дело. Знаете как-то не приятно когда вся компания ходит и злиться на тебя, также достает ну когда ну сколько по времени, у меня клиенты стоят.
По итогу решения я нашел источник проблем — это служба времени, она не достучалась до серверов синхронизации времени, после побилась репликация и перестала авторизовывать клиентов в системах использующих доменную авторизацию.
Но благодаря режиму F8 и меню Directory Services Repair Mode я решил проблему. Кстати советую если проделываете сброс пароля Администратора и проверить, что режим F8 включен с помощью команды bcdedit, а то будете ломать голову почему клавиша F8 не работает.
На этом у меня все, с уважением автор блога Олло Александр aka ekzorchik.
Опубликовано в рубрике Windows