Perché gli utenti creati sul controller di dominio fanno sempre parte del dominio?

10

Perché gli utenti creati sul controller di dominio fanno sempre parte del dominio?

Quando voglio creare un utente locale sul controller di dominio net user <username> <password> /add, trovo che l'utente sia automaticamente incluso nel Domain Usersgruppo.

Voglio creare un account amministratore locale sul controller di dominio, non parte del dominio, in grado di accedere in modo interattivo al controller di dominio ed eseguire attività amministrative.

È possibile?

windows  active-directory 
Shuzheng
fonte
2
No. Non è possibile.
joeqwerty,

Risposte:

3

Gli account locali sono memorizzati in un file chiamato database SAM . Questo esiste su un controller di dominio: se si avvia un controller di dominio in modalità di ripristino, l'account utilizzato per farlo è solo l'account amministratore locale nel database SAM. Tuttavia, quando Windows è in esecuzione normalmente l'accesso al database SAM è disabilitato e nessuno degli account in esso contenuti può essere utilizzato. Ciò significa che è impossibile accedere con un account locale su un controller di dominio.

Tuttavia, questo può essere fatto se sei felice di lavorare da una riga di comando e se non hai bisogno dell'accesso alla rete. Il trucco è accedere come account di sistema locale. Windows non fornisce alcun modo per farlo, ma l'ho fatto scrivendo un semplice server Telnet e quindi eseguendolo come servizio utilizzando l'account di sistema locale. Quando ci si connette al server Telnet si accede come account di sistema e non come account di dominio. Le uniche restrizioni sono che è solo riga di comando e l'account di sistema non ha accesso alla rete. Se hai intenzione di usare un hack come questo, stai molto attento alla sicurezza!

Anche se tutto ciò suona come un orribile hack, ha usi legittimi. Ad esempio, al lavoro utilizziamo uno strumento di gestione chiamato N-able che consente l'accesso remoto a una console sui server e lo fa fondamentalmente usando la tecnica che ho descritto sopra. Se apro una console su uno dei nostri controller di dominio e utilizzo il comando whoami ottengo:

inserisci qui la descrizione dell'immagine

Nota

Windows non ha un metodo integrato per l'apertura di un prompt dei comandi remoto, ma come Grawity menziona in un commento L'utilità psexec SysInternals può fare questo, e le utilità SysInternals sono fornite e supportate da Microsoft, quindi questo è almeno semi ufficiale. Usando psexec su uno dei miei server ottengo:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.
John Rennie
fonte
Hai reinventato SysInternals psexec -s ?
user1686
1
@grawity L'ho fatto per la prima volta su Windows NT 3.1 prima che esistessero le utility Sysinternals :-) Comunque hai ragione. Avevo dimenticato che Psexec poteva farlo.
John Rennie,
1
Punto preso. Speriamo che il telnetd originale "spalancato" non sia in uso ora?
user1686
23

No, non è possibile. I controller di dominio non dispongono di un proprio database di autenticazione. Viene sostituito da Active Directory quando promosso a un controller di dominio.

collo lungo
fonte
2
Questo risponde "È possibile?" dal corpo della domanda, ma non risponde "perché" dal titolo. Qualche insigths sulla parte "why"?
Mołot,
8
Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controllerè il perché. Quindi questo risponde al perché.
joeqwerty,
4
@peterh Solo Microsoft può sapere perché l'hanno progettata in questo modo, ma dubito che lo sappiano. Durante il passaggio delle consegne, la maggior parte delle domande sul "perché" alle quali ho dovuto rispondere "l'ho fatto perché questa è stata la prima cosa che mi è venuta in mente, e ha funzionato e, successivamente, non ha mai cambiato un sistema in esecuzione".
Alexander
5
Onestamente, se la domanda è "Perché Microsoft ha progettato in questo modo?" è la domanda, vorrei VTC. Qualsiasi risposta che forniremmo sarebbe pura speculazione (a meno che qualcuno qui non abbia lavorato a quel progetto alla MS intorno al 1999?).
Katherine Villyard,
2
All'epoca ero un MS MVP per server Windows e ho fatto alcune cose con il team beta "NT 5" e sono andato ad alcune riunioni in cui sono state discusse le decisioni di progettazione. L'argomentazione quindi era che non esisteva realmente un'azione dell'amministratore "locale" su un controller di dominio poiché qualsiasi cosa aveva il potenziale per influenzare il dominio. Vuoi riavviare il controller di dominio? Vuoi aggiungere o rimuovere un ruolo? Vuoi cambiare le impostazioni DNS sulla scheda di rete? Tutti potenzialmente in grado di influenzare la capacità di quel controller di dominio di gestire il proprio dominio e quindi azioni di "amministrazione locale" su un controller di dominio.
Rob Moir,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.