Comments | amarao_san: Вопрос о блокировке учётной записи

amarao_san

Вопрос о блокировке учётной записи

Apr 01, 2009 18:28

С одной стороны, временная блокировка (минут на 15) учётной записи при 100+ попытках подбора пароля - правильное решение. Особенно для пользователей, у которых таки может оказаться "нехороший" пароль ( Read more... )

администрирование, active directory, безопасность, windows server

Leave a comment

Back to all threads

ext_95147 April 1 2009, 15:27:19 UTC

Учетная запись администратора созданная при создании AD не должна блокироватся при любом значении политики блокировки. По крайней мере так утверждалось в материалах от MS

amarao_san April 1 2009, 15:28:53 UTC

Учётная запись администратора, созданная при создании AD (с именем Administrator) давным-давно умерла смертью храбрых.

ext_95147 April 1 2009, 15:42:36 UTC

Ну этим ты сам создал себе проблему возможности возникновения в твоем домене DoS атаки. Эта учетка важна, единственное "но" ее нужно не использовать для каждодневных работ. Ну и конечно должна иметь очень сложный пароль

amarao_san April 1 2009, 15:52:26 UTC

Я не люблю, когда в домене есть дефолтная учётная запись администратора. А защита от ддоса решается (в минимальном виде) отдельным OU с отключенной автоблокировкой.

sevaa April 1 2009, 17:59:19 UTC

Переименовать, и все тут. При DoS подбор идет по имени, а не по SID.

amarao_san April 1 2009, 18:24:00 UTC

да, в свете прочей дискуссии тут, это именно так.

PS Но я всё-таки найду метод удалить админа и создать на его место другого, привелегированного.

sevaa April 1 2009, 18:32:27 UTC

"Я тебе другого волка куплю, хорошего!" (С)

Для Чувства Полноты Достигнутого Решения - уважаю, сам такой. Я вот тоже недавно - для тестовых прогонов выставил в makefile все возможные runtime-проверки, и софтина перестала запускаться вовсе. Спустя неделю времени, одну дискуссию с автором компилятора, и выпиленную нахрен опцию -Ct (check stack) все заработало...

amarao_san April 1 2009, 19:01:33 UTC

это _интересно_. Если я научусь что-то разумно менять в схеме (да и даже в конфигурации) домена - это будет офигительно круто.

ext_95147 April 1 2009, 15:54:22 UTC

Кстати, а поделись как ты грохнул администратора. AD должна защищать эту запись от удаления... но это теория, никогда не пытался ее грохнуть только переименовывал

amarao_san April 1 2009, 16:01:39 UTC

delete и всё. Как можно что-то защитить от администратора? (Если что, там заодно и всякие scheme masters и т.д.)

ext_95147 April 1 2009, 16:08:49 UTC

Насчет "и т.д." то они запросто удаляются... но админ у которого sid 500, ну вот почти порушил веру в триединого админа ) завтра подниму тестовый домен - поэкспериментирую

amarao_san April 1 2009, 16:14:55 UTC

так-так-так, расскажи подробнее... У "первоединого" доменного админа SID==500? Ну, можно сделать админа и прописать ему снова. А возможность удалить админа сейчас проверю...

ext_95147 April 1 2009, 16:25:33 UTC

Да у "истинного" админа SID = S-1-5-.....-500

Back to all threads