Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Problema MUY GRAVE

21/11/2007 - 12:25 por ZIDAC | Informe spam
Ayuda Hacer una pregunta
Hola tengo un grave problema:

En un dominio 2003 he dado de alta a un usuario (sin privilegios) pero
cuando inicio sesión puedo realizar todas las acciones como si fuera
administrador (ejecutar programas, recorrer carpetas, borrar archivos en
todos los perfiles, etc)

He mirado en Usuarios y no pertenece nada mas que al grupo usuarios, y en el
dominio igual

¿Qué puede estar pasando?

GRACIAS,
ZIDAC
email Siga el debateRespuesta 5 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 Javier Inglés [MS MVP]
21/11/2007 - 12:30 | Informe spam
Unusuario normal puede ejevcutar archivos, recorrer carpetas, etc...si puede
borrar o acceder a sitios donde no debe, puede ser por 2 motivos a primera
vista:

1.-Revisa el grpo de adminsitradores de dominio, adminsitradores de empresa
y los adminsitradores locales del equipo

2.-Revisa los permisos NTFS

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"ZIDAC" escribió en el mensaje
news:
Hola tengo un grave problema:

En un dominio 2003 he dado de alta a un usuario (sin privilegios) pero
cuando inicio sesión puedo realizar todas las acciones como si fuera
administrador (ejecutar programas, recorrer carpetas, borrar archivos en
todos los perfiles, etc)

He mirado en Usuarios y no pertenece nada mas que al grupo usuarios, y en
el
dominio igual

¿Qué puede estar pasando?

GRACIAS,
ZIDAC
Respuesta Responder a este mensaje
#2 Desiderio Ondo.
22/11/2007 - 17:59 | Informe spam
Hola, Zidac:

Y si me permites, Javier... indicar que desde mi punto de vista, es un poco
"peligroso" incluir una cuenta de usuario de dominio entre los grupos de
usuarios locales de la máquina. No es obligatorio (generalmente no pasa nada),
pero personalmente, te recomiendo que lo corrijas.
·
·
Espero haberte servido de "alluda"
==Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Javier Inglés [MS MVP]" wrote:

Unusuario normal puede ejevcutar archivos, recorrer carpetas, etc...si puede
borrar o acceder a sitios donde no debe, puede ser por 2 motivos a primera
vista:

1.-Revisa el grpo de adminsitradores de dominio, adminsitradores de empresa
y los adminsitradores locales del equipo

2.-Revisa los permisos NTFS

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"ZIDAC" escribió en el mensaje
news:
> Hola tengo un grave problema:
>
> En un dominio 2003 he dado de alta a un usuario (sin privilegios) pero
> cuando inicio sesión puedo realizar todas las acciones como si fuera
> administrador (ejecutar programas, recorrer carpetas, borrar archivos en
> todos los perfiles, etc)
>
> He mirado en Usuarios y no pertenece nada mas que al grupo usuarios, y en
> el
> dominio igual
>
> ¿Qué puede estar pasando?
>
> GRACIAS,
> ZIDAC



Respuesta Responder a este mensaje
#3 Ramon Jiménez
22/11/2007 - 18:49 | Informe spam
Hola Desiderio,

Me podrías explicar dónde ves el peligro.

Yo no percibo ninguna poencial vulnerabilidad por el hecho que el grupo
Domain Users o un usuario concreto del Dominio pertenezca al grupo local
Users.

Si me lo explicas quizá pueda ver tu preocupación

Ramon

"Desiderio Ondo." wrote in message
news:
Hola, Zidac:

Y si me permites, Javier... indicar que desde mi punto de vista, es un
poco
"peligroso" incluir una cuenta de usuario de dominio entre los grupos de
usuarios locales de la máquina. No es obligatorio (generalmente no pasa
nada),
pero personalmente, te recomiendo que lo corrijas.
·
·
Espero haberte servido de "alluda"
==> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Javier Inglés [MS MVP]" wrote:

Unusuario normal puede ejevcutar archivos, recorrer carpetas, etc...si
puede
borrar o acceder a sitios donde no debe, puede ser por 2 motivos a
primera
vista:

1.-Revisa el grpo de adminsitradores de dominio, adminsitradores de
empresa
y los adminsitradores locales del equipo

2.-Revisa los permisos NTFS

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



"ZIDAC" escribió en el mensaje
news:
> Hola tengo un grave problema:
>
> En un dominio 2003 he dado de alta a un usuario (sin privilegios) pero
> cuando inicio sesión puedo realizar todas las acciones como si fuera
> administrador (ejecutar programas, recorrer carpetas, borrar archivos
> en
> todos los perfiles, etc)
>
> He mirado en Usuarios y no pertenece nada mas que al grupo usuarios, y
> en
> el
> dominio igual
>
> ¿Qué puede estar pasando?
>
> GRACIAS,
> ZIDAC



Respuesta Responder a este mensaje
#4 Desiderio Ondo.
23/11/2007 - 10:32 | Informe spam
Hola, Ramón:

No es que sea algo realmente peligroso (por eso lo ponía entre comillas)
sino más bien un tanto... molesto de cara a la gestión y/o accesos a los
equipos.

Verás, en más de una ocasión a mis chicos de CAU les han pedido que les
creen una cuenta local con el mismo nombre de usuario "por si algún día
cae el <server>", cuando realmente lo que pretenden es evitar que les
afecten las restricciones a nivel de dominio que tengo establecidas y
posteriormente, con un poquito de ingeniería social, adquirir privilegios para
hacer lo que no debieran. Por fortuna, a fecha de hoy lo tengo más o menos
arreglado (tras una larga conversación con el director general), aunque seguro
que habrá alguno que otro todavía por ahí.

La idea que pretendía transmitir es que existen algunos usuarios que
intentarán
de mil formas diferentes que se les creen cuentas locales para no tener que
"depender" de lo que les diga el servidor, y éso es precisamente lo que
tenemos
que evitar. Soy consciente que una cuenta de dominio perteneciente al grupo de
usuarios locales no es exactamente lo mismo a lo expuesto, pero de un paso al
otro... no sé, pero no creo que haya demasiada "distancia".

Si estoy equivocado, te ruego me corrijas, por favor.
·
·
Espero haberte servido de "alluda"
==Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Ramon Jiménez" wrote:

Hola Desiderio,

Me podrías explicar dónde ves el peligro.

Yo no percibo ninguna poencial vulnerabilidad por el hecho que el grupo
Domain Users o un usuario concreto del Dominio pertenezca al grupo local
Users.

Si me lo explicas quizá pueda ver tu preocupación

Ramon

"Desiderio Ondo." wrote in message
news:
> Hola, Zidac:
>
> Y si me permites, Javier... indicar que desde mi punto de vista, es un
> poco
> "peligroso" incluir una cuenta de usuario de dominio entre los grupos de
> usuarios locales de la máquina. No es obligatorio (generalmente no pasa
> nada),
> pero personalmente, te recomiendo que lo corrijas.
> ·
> ·
> Espero haberte servido de "alluda"
> ==> > Desiderio Ondo Oyana.
> Ingeniero en Informática.
> Microsoft® Certified Systems Engineer
> http://pantuflo.escet.urjc.es/~desitech
>
>
> "Javier Inglés [MS MVP]" wrote:
>
>> Unusuario normal puede ejevcutar archivos, recorrer carpetas, etc...si
>> puede
>> borrar o acceder a sitios donde no debe, puede ser por 2 motivos a
>> primera
>> vista:
>>
>> 1.-Revisa el grpo de adminsitradores de dominio, adminsitradores de
>> empresa
>> y los adminsitradores locales del equipo
>>
>> 2.-Revisa los permisos NTFS
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "ZIDAC" escribió en el mensaje
>> news:
>> > Hola tengo un grave problema:
>> >
>> > En un dominio 2003 he dado de alta a un usuario (sin privilegios) pero
>> > cuando inicio sesión puedo realizar todas las acciones como si fuera
>> > administrador (ejecutar programas, recorrer carpetas, borrar archivos
>> > en
>> > todos los perfiles, etc)
>> >
>> > He mirado en Usuarios y no pertenece nada mas que al grupo usuarios, y
>> > en
>> > el
>> > dominio igual
>> >
>> > ¿Qué puede estar pasando?
>> >
>> > GRACIAS,
>> > ZIDAC
>>
>>
>>



Respuesta Responder a este mensaje
#5 Ramon Jiménez
23/11/2007 - 21:13 | Informe spam
ok. aclarado...

"Desiderio Ondo." wrote in message
news:
Hola, Ramón:

No es que sea algo realmente peligroso (por eso lo ponía entre comillas)
sino más bien un tanto... molesto de cara a la gestión y/o accesos a los
equipos.

Verás, en más de una ocasión a mis chicos de CAU les han pedido que les
creen una cuenta local con el mismo nombre de usuario "por si algún día
cae el <server>", cuando realmente lo que pretenden es evitar que les
afecten las restricciones a nivel de dominio que tengo establecidas y
posteriormente, con un poquito de ingeniería social, adquirir privilegios
para
hacer lo que no debieran. Por fortuna, a fecha de hoy lo tengo más o menos
arreglado (tras una larga conversación con el director general), aunque
seguro
que habrá alguno que otro todavía por ahí.

La idea que pretendía transmitir es que existen algunos usuarios que
intentarán
de mil formas diferentes que se les creen cuentas locales para no tener
que
"depender" de lo que les diga el servidor, y éso es precisamente lo que
tenemos
que evitar. Soy consciente que una cuenta de dominio perteneciente al
grupo de
usuarios locales no es exactamente lo mismo a lo expuesto, pero de un paso
al
otro... no sé, pero no creo que haya demasiada "distancia".

Si estoy equivocado, te ruego me corrijas, por favor.
·
·
Espero haberte servido de "alluda"
==> Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Ramon Jiménez" wrote:

Hola Desiderio,

Me podrías explicar dónde ves el peligro.

Yo no percibo ninguna poencial vulnerabilidad por el hecho que el grupo
Domain Users o un usuario concreto del Dominio pertenezca al grupo local
Users.

Si me lo explicas quizá pueda ver tu preocupación

Ramon

"Desiderio Ondo." wrote in
message
news:
> Hola, Zidac:
>
> Y si me permites, Javier... indicar que desde mi punto de vista, es un
> poco
> "peligroso" incluir una cuenta de usuario de dominio entre los grupos
> de
> usuarios locales de la máquina. No es obligatorio (generalmente no pasa
> nada),
> pero personalmente, te recomiendo que lo corrijas.
> ·
> ·
> Espero haberte servido de "alluda"
> ==>> > Desiderio Ondo Oyana.
> Ingeniero en Informática.
> Microsoft® Certified Systems Engineer
> http://pantuflo.escet.urjc.es/~desitech
>
>
> "Javier Inglés [MS MVP]" wrote:
>
>> Unusuario normal puede ejevcutar archivos, recorrer carpetas, etc...si
>> puede
>> borrar o acceder a sitios donde no debe, puede ser por 2 motivos a
>> primera
>> vista:
>>
>> 1.-Revisa el grpo de adminsitradores de dominio, adminsitradores de
>> empresa
>> y los adminsitradores locales del equipo
>>
>> 2.-Revisa los permisos NTFS
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "ZIDAC" escribió en el mensaje
>> news:
>> > Hola tengo un grave problema:
>> >
>> > En un dominio 2003 he dado de alta a un usuario (sin privilegios)
>> > pero
>> > cuando inicio sesión puedo realizar todas las acciones como si fuera
>> > administrador (ejecutar programas, recorrer carpetas, borrar
>> > archivos
>> > en
>> > todos los perfiles, etc)
>> >
>> > He mirado en Usuarios y no pertenece nada mas que al grupo usuarios,
>> > y
>> > en
>> > el
>> > dominio igual
>> >
>> > ¿Qué puede estar pasando?
>> >
>> > GRACIAS,
>> > ZIDAC
>>
>>
>>



email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida