Comments 18
Аццки плюсую ибо актуально.
0
Как я вас понимаю. У меня тоже принята строгая политика именования объектов AD. Например, имя компьютера должно содержать инвентарный номер. Но некоторые личности это не соблюдают, и иногда там можно встретить всякий мусор. Приходится иногда повышать голос.
Кстати, создателя кривого объекта можно вычислить, посмотрев владельца объекта.
А чтобы понять кто где работает, в logon скриптом можно вставлять в атрибуты description или managedBy компьютера логин или имя пользователя.
Кстати, создателя кривого объекта можно вычислить, посмотрев владельца объекта.
А чтобы понять кто где работает, в logon скриптом можно вставлять в атрибуты description или managedBy компьютера логин или имя пользователя.
0
Можно по подробнее про Владельца объекта? Что то мне такое не попадалось на глаза.
0
Сам же себе отвечу, извините, затупил.
Да, можно посмотреть и там, но, в моем случае, у меня показывается только группа, в которую входит создатель (например Domain Admins). Может у Вас по другом?
Да, можно посмотреть и там, но, в моем случае, у меня показывается только группа, в которую входит создатель (например Domain Admins). Может у Вас по другом?
0
У меня AD на 2003. Как посмотреть безопасность через стандартную консоль я не нашел. В adsiedit.msc ПКМ на объекте, Properties, вкладка Security->Advanсed->Owner. У меня там стоит пользователь владелец, считай создатель объекта.
0
Я кажется понял. На technet сказано, что:
By default, the owner is the creator of the object, except for objects created by an administrator, in which case «Administrators» is the owner.
Аналогично Domain Admins будет владельцем объектов созданных его членами. Кстати, раньше в упор этого не замечал. :)
А у меня специальные группы, что-то типа SG-Admins-Who-Can-Create-Users-In-This-OU.
By default, the owner is the creator of the object, except for objects created by an administrator, in which case «Administrators» is the owner.
Аналогично Domain Admins будет владельцем объектов созданных его членами. Кстати, раньше в упор этого не замечал. :)
А у меня специальные группы, что-то типа SG-Admins-Who-Can-Create-Users-In-This-OU.
0
Мы используем в качестве хостнеймов мак-адреса+ код локации. В настройках WDS выглядит как RU%MAC%
А для того, чтобы знать кто где сидит — надо иметь программу инвентаризации, коих великое множество, все же AD для этого не предназначена, большой трафик репликации, нагрузка на DC итд.
Да и кстати поздравляю — автор сложно решил несуществующую проблему!
А для того, чтобы знать кто где сидит — надо иметь программу инвентаризации, коих великое множество, все же AD для этого не предназначена, большой трафик репликации, нагрузка на DC итд.
Да и кстати поздравляю — автор сложно решил несуществующую проблему!
+1
Я не буду много писать, вся ваша статья умещается в это:
«Логины должны вида Вася.Пупкин»
get-qaduser |? { ($_.samaccountname -notmatch ("{0}\.{1}" -f $_.FirstName,$_.LastName )}
Остальное сами додумаете, если чего пишите, помогу.
«Логины должны вида Вася.Пупкин»
get-qaduser |? { ($_.samaccountname -notmatch ("{0}\.{1}" -f $_.FirstName,$_.LastName )}
Остальное сами додумаете, если чего пишите, помогу.
0
Кривых login`ов полно по нашему домены ибо домен большой, а занимаюсь я дизайном относительно недавно.
С помощью вашего примера же Вам выйдет список всех кривых логинах, а дальше что? Смысл в статьи не только в этом.
С помощью вашего примера же Вам выйдет список всех кривых логинах, а дальше что? Смысл в статьи не только в этом.
0
Смысл статьи — найти, покарать и уничтожить, поставить барьер.
Я Вам предложил решение — найти.
Ваша задача уничтожить — принудительно переименовать, и это тоже решается скриптингом (еще один pipe)
Аудитом Вы видите только тех кто завел УЗ, причем пост фактум — и это не правильно.
Необходимы организационные меры, через руководство, и коли у вас большой домен, это должно сработать.
Я Вам предложил решение — найти.
Ваша задача уничтожить — принудительно переименовать, и это тоже решается скриптингом (еще один pipe)
Аудитом Вы видите только тех кто завел УЗ, причем пост фактум — и это не правильно.
Необходимы организационные меры, через руководство, и коли у вас большой домен, это должно сработать.
0
Найти можно и средствами AD.
Смысл статьи — направить праведный гнев начальства не на меня, а на тех кто создает эти УЗ.
Вот тогда и пойдут организационные меры.
С моей стороны до этого было сделано несколько шагов: и объяснения что и как и даже создание инструкции. Увы, не до всех удается достучаться.
Смысл статьи — направить праведный гнев начальства не на меня, а на тех кто создает эти УЗ.
Вот тогда и пойдут организационные меры.
С моей стороны до этого было сделано несколько шагов: и объяснения что и как и даже создание инструкции. Увы, не до всех удается достучаться.
0
Отбирайте права у попавшихся.
А вообще объяснения тут важно именно начальству — неверное заведение УЗ: увеличивает стоимость обслуживания, усложняет связывание сервисов, осложняет работу самого сотрудника (кому эта УЗ была выдана), вообще может привести к нарушению безопасности. Безалаберность, это угроза для безопасности.
А если всё-еще с Вас продолжают спрашивать за «них», то можно сделать сервис заведения УЗ, который по определению не ошибается.
У нас используется скрипт с блэк..., ну это уже другая тема, у нас мы сами заводим УЗ и простого заполнения ФИО и SAMACCOUNTNAME у нас недостаточно…
А вообще объяснения тут важно именно начальству — неверное заведение УЗ: увеличивает стоимость обслуживания, усложняет связывание сервисов, осложняет работу самого сотрудника (кому эта УЗ была выдана), вообще может привести к нарушению безопасности. Безалаберность, это угроза для безопасности.
А если всё-еще с Вас продолжают спрашивать за «них», то можно сделать сервис заведения УЗ, который по определению не ошибается.
У нас используется скрипт с блэк..., ну это уже другая тема, у нас мы сами заводим УЗ и простого заполнения ФИО и SAMACCOUNTNAME у нас недостаточно…
0
Если я отберу права у всех попавшихся, я вернусь к тому, с чего начинал — опять ко мне ходят толпы и конючат «создай учетку».
Понятно, что у нас не совершенная фирма в плане IT безопасности, есть куда стремиться.
Требовать от них чего то большого, мне пока никто не позволит, ибо мое начальство и начальство этих «эникейщиков» совершенно разное.
По этому приходится маленькими шажочками выводить всех (себя в том числе) на истинный путь.
На счет специального сервиса — интересно. Надо будет подумать.
Спасибо за совет и за Ваше стремление к общей безопасности :)
Понятно, что у нас не совершенная фирма в плане IT безопасности, есть куда стремиться.
Требовать от них чего то большого, мне пока никто не позволит, ибо мое начальство и начальство этих «эникейщиков» совершенно разное.
По этому приходится маленькими шажочками выводить всех (себя в том числе) на истинный путь.
На счет специального сервиса — интересно. Надо будет подумать.
Спасибо за совет и за Ваше стремление к общей безопасности :)
0
Да, как вариант — сделайте веб-страничку, куда вводятся имя, фамилия и еще что-нибудь общее (должность) в форму для новых сотрудников. Скрипт автоматически создает логин на основе введенных данных, и в AD. Отберите у сотрудников права на AD и оставьте только на такую веб-страничку.
0
А, если не секрет, сколько у вас юзеров? Походу даже в относительно небольших буржуйских конторах (>500) пользуются специально обученными программами, типа www.quest-software.ru/activeroles-server/
0
Sign up to leave a comment.
HelpDesk под колпаком. Аудит создания учетных записей пользователей в AD