Dlaczego użytkownicy tworzeni na kontrolerze domeny są zawsze częścią domeny?

10

Dlaczego użytkownicy tworzeni na kontrolerze domeny są zawsze częścią domeny?

Kiedy chcę utworzyć lokalnego użytkownika na kontrolerze domeny net user <username> <password> /add, stwierdzam, że użytkownik jest automatycznie dołączany do Domain Usersgrupy.

Chcę utworzyć konto administratora lokalnego na kontrolerze domeny, nie będącym częścią domeny, które będzie mogło logować się na kontrolerze domeny interaktywnie i wykonywać zadania administracyjne.

czy to możliwe?

windows active-directory Shuzheng
źródło
2
Nie. Nie jest to możliwe.
joeqwerty

Odpowiedzi:

3

Konta lokalne są przechowywane w pliku o nazwie baza danych SAM . Istnieje na kontrolerze domeny - jeśli uruchomisz kontroler domeny w trybie przywracania, konto, którego używasz do tego celu, jest tylko kontem administratora lokalnego w bazie danych SAM. Jednak gdy system Windows działa normalnie, dostęp do bazy danych SAM jest wyłączony i nie można z niego korzystać. Oznacza to, że nie można zalogować się przy użyciu konta lokalnego na kontrolerze domeny.

Można to jednak zrobić, jeśli chcesz pracować z wiersza polecenia i nie potrzebujesz dostępu do sieci. Sztuką jest zalogowanie się jako lokalne konto systemowe. Windows nie zapewnia żadnego sposobu, aby to zrobić, ale zrobiłem to, pisząc prosty serwer telnet, a następnie uruchamiając go jako usługę przy użyciu lokalnego konta systemowego. Gdy łączysz się z serwerem Telnet, jesteś zalogowany jako konto systemowe, a nie konto domeny. Jedynymi ograniczeniami są to, że jest to tylko wiersz poleceń, a konto systemowe nie ma dostępu do sieci. Jeśli zamierzasz użyć takiego hacka, bądź bardzo ostrożny w kwestii bezpieczeństwa!

Chociaż wszystko to brzmi jak okropny hack, ma uzasadnione zastosowania. Na przykład w pracy używamy narzędzia do zarządzania o nazwie N-zdolne, które pozwala na zdalny dostęp do konsoli na serwerach i robi to przy użyciu techniki opisanej powyżej. Jeśli otworzę konsolę na jednym z naszych kontrolerów domeny i użyję polecenia whoami , otrzymam:

wprowadź opis zdjęcia tutaj

Notatka

Windows nie ma wbudowanej metody otwierania zdalnego wiersza polecenia, ale jak wspomina grawitacja w komentarzu Narzędzie SysInternals psexec może to zrobić, a narzędzia SysInternals są dostarczane i obsługiwane przez Microsoft, więc jest to co najmniej pół oficjalne. Używając psexec na jednym z moich serwerów, otrzymuję:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.
John Rennie
źródło
Czy odkryłeś na nowo SysInternals psexec -s ?
user1686,
1
@grawity Zrobiłem to najpierw w systemie Windows NT 3.1, zanim istniały narzędzia Sysinternals :-) Jednak masz rację. Zapomniałem, że psexec może to zrobić.
John Rennie,
1
Punkt wzięty. Chociaż mam nadzieję, że oryginalny „szeroko otwarty” telnetd nie jest już używany?
user1686,
23

Nie, to nie jest możliwe. Kontrolery domeny nie mają własnej bazy danych uwierzytelniania. Zostaje zastąpiony przez Active Directory po awansie na kontroler domeny.

długa szyja
źródło
2
To odpowiada „Czy to możliwe?” z treści pytania, ale nie odpowiada „tytuł” ​​z tytułu. Wszelkie sugestie dotyczące części „dlaczego”?
Mołot
8
Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controllerjest dlaczego. To odpowiada na pytanie dlaczego.
joeqwerty
4
@peterh Tylko Microsoft może wiedzieć, dlaczego zaprojektowali to w ten sposób, ale wątpię, by wiedzieli. Podczas przekazania większość pytań „dlaczego” musiałem odpowiedzieć „zrobiłem, ponieważ to była pierwsza rzecz, która przyszła mi do głowy, i zadziałało, a potem nigdy nie zmienia działającego systemu”.
Alexander
5
Szczerze mówiąc, jeśli pytanie brzmi „Dlaczego Microsoft zaprojektował to w ten sposób?” jest pytanie, chciałbym VTC. Jakakolwiek odpowiedź, którą udzielilibyśmy, byłaby czystą spekulacją (chyba że ktoś tutaj pracował nad tym projektem w MS około 1999 roku?).
Katherine Villyard
2
Byłem wtedy MS MVP na serwerze Windows i zrobiłem kilka rzeczy z zespołem beta „NT 5” i poszedłem na kilka spotkań, na których omawiano decyzje projektowe. Argument był wtedy taki, że tak naprawdę nie było czegoś takiego jak „lokalna” akcja administratora na kontrolerze domeny, ponieważ wszystko mogło potencjalnie wpłynąć na domenę. Chcesz ponownie uruchomić kontroler domeny? Chcesz dodać lub usunąć rolę? Chcesz zmienić ustawienia DNS na karcie sieciowej? Wszystkie potencjalnie mogą wpłynąć na zdolność tego kontrolera domeny do obsługi jego domeny, a zatem nie są to działania „lokalnego administratora” na kontrolerze domeny.
Rob Moir