Har jag hittat ett säkerhetshål?

En kund har en Windows server med ett 10-tal Win7/10 klienter. Körs som en domän med inloggning på domänkonton. Alla klienter använder mappade nätverksdiskar med gruppbehörigheter kopplade till deras konton.

En W7 klient fick problem nyligen. Vid uppstart kom felmeddelande att ”trust to domain controllers could not be estsblished” eller ngt liknande. Därför gick det inte att logga på, och kunden har slarvat bort lösenord till lokala adminkontot.

Kunden gjorde misstaget (?) att via servern ta bort datorn ur Computers ur AD för att försöka lägga in den igen. Nu kom jag in i bilden ...

1. Konstaterar att inloggning inte går med varken användar eller admin konto. Felet som fås var något i stil med att ” trust database missing”.
2. Jag drog ur nätverkskabel och provade igen (med användarens domänkonto). Kommer in och allt ser normalt ut.
3. Sätter i nätverkskabel igen och till min förvåning så kan jag bläddra i alla fyra nätverksmapparna precis som om inget har hänt trots att datorn uppenbarligen inte är medlem i domänen längre.
4. Provade också att gå in i inställningarna för att ändra datornamn o domänmedlemsksap, men då kommer UAC upp och fungerar inte påloggning med domänens adminkonto.

Flera frågor här:
1. är det en säkerhetsbugg att jag kan bläddra på nätverket i det här läget?
2. hur får jag tillbaka datorn i domänen utan att kunna autentisera? Går troligen inte utan en ominstallation är jag rädd.

Du navigerar nog bara bland offline-filer.

För att gå med i en domän så googlar du. Högerklicka på "Den här datorn" & egenskaper, så har du det precis där.

1. Utan att veta exakt hur rättigheterna är uppsatta för de delade resurserna, och Kerberos, är det omöjligt att svara på varför du kunde göra det.

2. Om du inte har tillgång till något adminkontot, så får du försöka rensa lösenordet med exempelvis ntpasswd. Om du trots såna hyss inte kan komma in på maskinen; installera om.

Det tror jag inte. Eftersom du har kunnat logga in med användarens konto mot ADt har tjänsten troligtvis rättat till sig självt. Edit: Missförstod dig, du kan alltså logga in med nätverkskabel ur, men inte med den i? Stämmer klockan på datorn med domänens klocka?


Nu kanske jag är ute och cyklar, men Domain Admin är väl normalt inte lokal administratör på klientdatorerna? Logga in med lokal administratör istället, men troligtvis är datorn redan med i domänen igen. Edit: Du använder en AD-användare för att gå med i domänen, men UAC är lokal.

Du kan bläddra bland filerna för att använda ren fortfarande är giltigt. Då felet du fått har med dator kontot att göra. Jämför med att du på en pc som aldrig har vart med i domän fortfarande kan komma åt delsde mappar från serveren om du bara skriver inn en användare: domene\använda re och lösenordet.

Innan han tog bort PCen från domän hade du kunnat reparera trusten mellan pc och domän. Men du borde nu kunna byta namn på PCen och join den i samna domän med domene admin, eller tom med hans konto (som standard kan en vanlig användare koppla 5 PCer till en domän). Och som standard är domain admin lagt til i en domän ansluten pcs lokala administrator grupp.

Ska kolla klockan så snart jag kan. Tack för återkoppling alla.

Precis, ska bara ordna det lokala admin lösenordet först. Har hittat några verktyg bl.a. Hirens bootcd med återställningsverktyg. Tack för återkoppling!

Då var jag ute och cyklade i mitt svar ovan.