Discussione:
Aggiungere un client al dominio.
(troppo vecchio per rispondere)
Nicola Murruzzu
2005-01-29 23:38:25 UTC
Permalink
Perdonate la domanda ma mi è venuto un gran dubbio in proposito.

Un nuovo utente del quale non ho mai "agganciato" il PC al dominio una bella
mattina mi risulta invece unito al dominio stesso. L'altro ragazzo che si
occupa dell'amministrazione mi ha detto di non averlo agganciato nemmeno
lui. Il dominio è un W2K. Il client incriminato è XP di cui l'utente è
amministratore locale.
Nelle policy del server, protezione locale, protezione del controller e
protezione del dominio il diritto di aggiungere nuovi PC al dominio spetta
solo a Domain Admins.

Cosa può essere successo?

PS.
L'utente è un discreto smanettone ma non so fino a che livello.

Grazie e buona domenica a tutti.

Nicola
Alessandro Borille [MVP]
2005-01-29 23:59:58 UTC
Permalink
On Sun, 30 Jan 2005 00:38:25 +0100, "Nicola Murruzzu"
Post by Nicola Murruzzu
Perdonate la domanda ma mi è venuto un gran dubbio in proposito.
Un nuovo utente del quale non ho mai "agganciato" il PC al dominio una bella
mattina mi risulta invece unito al dominio stesso. L'altro ragazzo che si
occupa dell'amministrazione mi ha detto di non averlo agganciato nemmeno
lui. Il dominio è un W2K. Il client incriminato è XP di cui l'utente è
amministratore locale.
Nelle policy del server, protezione locale, protezione del controller e
protezione del dominio il diritto di aggiungere nuovi PC al dominio spetta
solo a Domain Admins.
Cosa può essere successo?
Un *domain user* può aggiungere al dominio fino a 10 workstation, di
default.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Edoardo Benussi [MVP]
2005-01-30 07:05:26 UTC
Permalink
Alessandro Borille [MVP] <***@despammed.com> ha scritto nel messaggio
***@4ax.com:
[cut]
Post by Alessandro Borille [MVP]
Un *domain user* può aggiungere al dominio fino a 10 workstation, di
default.
sicuro ? con la policy impostata a me risulta
che non lo possa fare neanche una volta.
Ciao Ale :-)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Rossano Orlandini
2005-01-30 09:55:54 UTC
Permalink
On Sun, 30 Jan 2005 08:05:26 +0100, "Edoardo Benussi [MVP]"
Post by Edoardo Benussi [MVP]
[cut]
Post by Alessandro Borille [MVP]
Un *domain user* può aggiungere al dominio fino a 10 workstation, di
default.
sicuro ? con la policy impostata a me risulta
che non lo possa fare neanche una volta.
Ciao Ale :-)
L'unica scappatoia è il permesso Create Computer Objects a livello del
container Computer in Utenti e Computer di AD :-)
--
Rossano Orlandini
Leone Randazzo
2005-01-30 10:53:02 UTC
Permalink
Di default è come dice Alessandro solo che il gruppo a cui è concesso il
diritto di Join è Authenticated Users.

Ciao
Leone
Rossano Orlandini
2005-01-30 11:01:20 UTC
Permalink
On Sun, 30 Jan 2005 02:53:02 -0800, "Leone Randazzo"
Post by Leone Randazzo
Di default è come dice Alessandro solo che il gruppo a cui è concesso il
diritto di Join è Authenticated Users.
Esatto ma, se come dice Nicola, nella Domain Controllers Policy è
rimasto solo Domain Admins, l'unica scappatoia mi sembra quella del
privilegio Create Computer Objects a livello del container Computer
;-)
--
Rossano Orlandini
Edoardo Benussi [MVP]
2005-01-30 11:13:03 UTC
Permalink
Rossano Orlandini <***@libero.it> ha scritto nel messaggio
***@4ax.com:
[cut]
Post by Rossano Orlandini
Esatto ma, se come dice Nicola, nella Domain Controllers Policy è
rimasto solo Domain Admins, l'unica scappatoia mi sembra quella del
privilegio Create Computer Objects a livello del container Computer
;-)
eh no! c'è anche la possibilità
che l'utente smanettone abbia "trovato"
la pwd di un domain admin ;-)
Ciao Ross :-)
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
http://italy.mvps.org
Alessandro Borille [MVP]
2005-01-30 12:17:28 UTC
Permalink
On Sun, 30 Jan 2005 12:13:03 +0100, "Edoardo Benussi [MVP]"
Post by Edoardo Benussi [MVP]
eh no! c'è anche la possibilità
che l'utente smanettone abbia "trovato"
la pwd di un domain admin ;-)
Ciao Ross :-)
Perdonate, come dice Leone, è il gruppo "authenticated user" che ha la
possibilità di iscrivere 10 wks al dominio. Io sono andato un pò più
in là, presumendo che un domain user sia anche un authenticated user.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Stefano Fio
2005-01-31 08:49:01 UTC
Permalink
Post by Alessandro Borille [MVP]
On Sun, 30 Jan 2005 12:13:03 +0100, "Edoardo Benussi [MVP]"
Post by Edoardo Benussi [MVP]
eh no! c'è anche la possibilità
che l'utente smanettone abbia "trovato"
la pwd di un domain admin ;-)
Ciao Ross :-)
Perdonate, come dice Leone, è il gruppo "authenticated user" che ha la
possibilità di iscrivere 10 wks al dominio. Io sono andato un pò più
in là, presumendo che un domain user sia anche un authenticated user.
Ciao Alessandro,
mi chiedevo ma i domain user non vengono inseriti di default dal sistema nel
gruppo speciale authenticated user??!!
Quindi la tua prima affermazione non dovrebbe implicitamente essere corretta
e non considerabile solo una presunzione??? :-|
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Andrea Gallazzi [MVP]
2005-01-31 09:26:41 UTC
Permalink
Post by Stefano Fio
Ciao Alessandro,
mi chiedevo ma i domain user non vengono inseriti di default dal
sistema nel gruppo speciale authenticated user??!!
Quindi la tua prima affermazione non dovrebbe implicitamente essere
corretta e non considerabile solo una presunzione??? :-|
Corretta, ma incompleta. Alessandro è un precisino! ;)
Ciao Ale!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Stefano Fio
2005-01-31 09:36:01 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by Stefano Fio
Ciao Alessandro,
mi chiedevo ma i domain user non vengono inseriti di default dal
sistema nel gruppo speciale authenticated user??!!
Quindi la tua prima affermazione non dovrebbe implicitamente essere
corretta e non considerabile solo una presunzione??? :-|
Corretta, ma incompleta. Alessandro è un precisino! ;)
Ciao Ale!
Ok!
Ciao Andrea. ;-)
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Andrea Gallazzi [MVP]
2005-01-31 17:10:19 UTC
Permalink
Post by Stefano Fio
Ciao Andrea. ;-)
Ciao Stefano! :)
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Alessandro Borille [MVP]
2005-01-31 18:30:55 UTC
Permalink
On Mon, 31 Jan 2005 10:26:41 +0100, "Andrea Gallazzi [MVP]"
Post by Andrea Gallazzi [MVP]
Post by Stefano Fio
Ciao Alessandro,
mi chiedevo ma i domain user non vengono inseriti di default dal
sistema nel gruppo speciale authenticated user??!!
Quindi la tua prima affermazione non dovrebbe implicitamente essere
corretta e non considerabile solo una presunzione??? :-|
Corretta, ma incompleta. Alessandro è un precisino! ;)
Ciao Ale!
Eh purtroppo è proprio così :-)
Ciao Andrea!
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Andrea Gallazzi [MVP]
2005-02-01 08:19:30 UTC
Permalink
Post by Alessandro Borille [MVP]
Eh purtroppo è proprio così :-)
Ciao Andrea!
Non sei l'unico.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Leone Randazzo
2005-01-31 09:57:04 UTC
Permalink
Ciao Stefano, scusa se mi intrometto nella discussione,

Authenticated Users, identifica qualsiasi utente autenticato esplicitamente
da qualsiasi DC di qualsiasi dominio di una foresta.

Per default esso fa parte del gruppo Users.

Da notare che non vale il viceversa: nel senso che non tutti gli utenti del
gruppo Users sono necessariamente Authenticated Users. Infatti, risultano
esclusi quegli utenti utilizzati per connessioni anonime (guest o utenti
utilizzati per aprire Null Session per le connessioni computer-computer
(e.g.: per lo scambio della lista delle condivisioni (folder, stampanti) o
ancora prima dell’autenticazione di un computer da parte di un DC).

Pertanto, è consigliato in genere utilizzare il gruppo Authenticated Users
anzichè Users all’interno di una ACL per l’assegnazione di permessi e/o
diritti.

Leone
Stefano Fio
2005-01-31 10:10:55 UTC
Permalink
Post by Leone Randazzo
Ciao Stefano, scusa se mi intrometto nella discussione,
Authenticated Users, identifica qualsiasi utente autenticato
esplicitamente da qualsiasi DC di qualsiasi dominio di una foresta.
Per default esso fa parte del gruppo Users.
Da notare che non vale il viceversa: nel senso che non tutti gli
utenti del gruppo Users sono necessariamente Authenticated Users.
Infatti, risultano esclusi quegli utenti utilizzati per connessioni
anonime (guest o utenti utilizzati per aprire Null Session per le
connessioni computer-computer (e.g.: per lo scambio della lista delle
condivisioni (folder, stampanti) o ancora prima dell'autenticazione
di un computer da parte di un DC).
Pertanto, è consigliato in genere utilizzare il gruppo Authenticated
Users anzichè Users all'interno di una ACL per l'assegnazione di
permessi e/o diritti.
Leone
Ciao Leone
grazie per i dettagli,
il disorso è abbastanza chiaro, il mio dubbio nasceva dal fatto
che tra i vari post sembrava quasi si volesse far intendere che i domain
user dopo l'autenticazione
potessero in qualche maniera non far parte
degli auth. users, cosa che appunto non mi suonava bene... ;-)

Ste.
--
Stefano FIO - ***@tiscali.it
MCT - MCSE Security Windows Server 2K/2K3
------------------------------------------------------------------
-This posting is provided "AS IS" with no warranties,
and confers no rights
- Le informazioni fornite in questo messaggio sono fornite
senza vincolo di garanzia e senza responsabilità alcuna
------------------------------------------------------------------
Andrea Gallazzi [MVP]
2005-01-31 11:05:01 UTC
Permalink
Post by Leone Randazzo
Per default esso fa parte del gruppo Users.
Mmmm... credo che abbiamo fatto un po' di confusione tra Users e Domain
Users ;)
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2005-01-30 12:28:40 UTC
Permalink
Post by Rossano Orlandini
Esatto ma, se come dice Nicola, nella Domain Controllers Policy è
rimasto solo Domain Admins, l'unica scappatoia mi sembra quella del
privilegio Create Computer Objects a livello del container Computer
;-)
Oppure la policy è stata erroneamente impostata a livello di dominio che in
questo caso viene ridefinita dalle policy dei domain controller.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Nicola Murruzzu
2005-02-01 16:05:45 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Oppure la policy è stata erroneamente impostata a livello
di dominio che in
Post by Andrea Gallazzi [MVP]
questo caso viene ridefinita dalle policy dei domain
controller.
Sono risucito a leggere il post solo oggi. Il diritto di
aggiungere workstation al dominio era riservato a Domain
Admins solo nella policy di protezione del dominio.
Andando a vedere in quella del controller figurava anche
Authenticated Users, che ho prontamente rimosso.
Pensavo che la priorità dell'applicazione dei diritti, in
caso di conflitto, fosse la seguente: Dominio, Controller,
Locale. Mi sbagliavo.
Grazie a tutti.
Nicola
Andrea Gallazzi [MVP]
2005-02-02 11:00:07 UTC
Permalink
Post by Nicola Murruzzu
Grazie a tutti.
Di nulla. Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Alessandro Borille [MVP]
2005-02-03 12:45:03 UTC
Permalink
On Tue, 1 Feb 2005 08:05:45 -0800, "Nicola Murruzzu"
Post by Nicola Murruzzu
Pensavo che la priorità dell'applicazione dei diritti, in
caso di conflitto, fosse la seguente: Dominio, Controller,
Locale. Mi sbagliavo.
Grazie a tutti.
Nicola
La sequenza è LSDOU:
Local, Site, Domain, Organizational Unit
E se non ricordo male la policy per i domain controller dovrebbe
essere linkata proprio alla OU relativa ai DC.
--
Alessandro Borille
Microsoft MVP - Windows Server
http://www.almait.it
Continua a leggere su narkive:
Loading...