Я создал некоторое программное обеспечение в контейнере (используя Podman) и хотел бы запустить двоичный файл на моем хосте. Двоичный файл связан с некоторыми динамическими библиотеками, отсутствующими на хосте. Я подумал, что быстрое решение хакерства заключается в монтировании файловой системы контейнера на моем хосте и иметь двоичный поиск библиотек там (например, используя LD _ LIBRARY _ PATH
).
Как установить/просмотреть файловую систему контейнера на хосте?
-121--309544-Я развернул MS LAPS для управления локальными административными паролями, и все работает нормально, за исключением того, что непривилегированные пользователи могут получить доступ к локальному административному паролю как в Powershell, так и в LAPS UI.
Выполнение команды ниже показывает, что в дополнение к целевым группам BUILTIN\Users также может считывать пароль. (Эта команда та же, что предлагает LAPS_OperationalGuide, но я отправил результаты в группу ForEver
и Out-File
, чтобы вывод не был усечен.)
Find-AdmPwdExtendedRights -Identity 'All Computers' | `
ForEach-Object -Begin $null -Process {$_.ObjectDN}, {$_.ExtendedRightHolders} -End $null |`
Out-File C:\Temp\WTF.txt
mydomain\Domain Users является членом группы BUILTIN\Users (что нормально), так что, возможно, именно здесь проблема Независимо от этого, я не могу найти способ удалить разрешение AdmPwd из BUILTIN\Users или из mydomain\Domain Users . Я прошел через каждую учетную запись, указанную в ADSIEdit\AllComputers\Properties\Security\Advanced , но ни один пользователь или группа не имеют разрешения AdmPwd, кроме тех, которые должны. Сделал то же самое в ADUC с тем же результатом.
Может ли кто-нибудь сообщить мне, как удалить разрешение AdmPwd из BUILTIN\Users ? Существует командлет Set-AdmPwdExtendedRights
, но отсутствует командлет Remove-AdmPwdExtendedRights
. В противном случае, кто-то может сказать мне, как найти, откуда поступает разрешение?
Прежде чем люди начнут спрашивать, да, я внимательно следил за LAPS_OperationGuide, запустил все командлеты Powershell, перешел в ADSI Edit и удалил «Все расширенные права» и дал права двум моим предполагаемым группам. Все, что связано с LAPS, работает правильно, за исключением проблемы BUILTIN\Users .
Ваша проблема не имеет ничего общего с вашей реализацией LAPS. Мы заметили ту же проблему с обычными пользователями домена, которые могут читать пароли LAPS. Проблема была вызвана неверно настроенными разрешениями или лишением привилегий для компьютерных объектов AD. Решением было провести аудит всех компьютерных объектов с помощью сценария и сбросить наследование, чтобы удалить любые настраиваемые разрешения для новых объектов. Было обнаружено, что одна из основных причин этой проблемы связана с тем, что администраторы предоставляют пользователям домена разрешение на присоединение компьютера к домену при создании объекта компьютера. Это разрешение осталось у объекта и было достаточно, чтобы позволить им прочитать пароль LAPS после того, как компьютер был присоединен к домену.
Благодаря точке с запятой на Spiceworks.com я нашел решение. https://community.spiceworks.com/topic/2314503-laps-problem-still?page=1#entry-9150359
TL;DR: При просмотре Properties > Security > Advanced соответствующей компьютерной OU, а затем на оскорбительную запись MyDomain\Users, я не заметил, что список Permissions/Properties можно было прокручивать. Там куча настроек, которых я не видел. Запись Users не имеет всех расширенных прав, но имеет Read mcs-McS-AdmPwd. Не удалось снять флажок (просто перепроверил себя после ОК), поэтому я полностью удалил запись. Проблема решена. Спасибо всем, кто внес свой вклад.