Учетная запись для чтения AD соедините машину с доменом, удалите учетные записи компьютера и компьютеры перемещения к OUs

Question

Учетная запись для чтения AD соедините машину с доменом, удалите учетные записи компьютера и компьютеры перемещения к OUs

Это боты, пытающиеся отправить, Вы посылаете спам, или хуже, пытаясь использовать Вашу форму контакта, чтобы отправить спам другим.

Например, существует несколько известного использования для PHP mail() команда, наиболее часто используемая формами контакта, которые могут заставить обращаться к Вам, вставила Ваш код, который будет перезаписан ОТПРАВЛЕННЫМИ данными, если Вы не осторожны, как Вы обрабатываете данные, входящие от Вашей формы.

Некоторые способы предотвратить это:

Используйте капчу. Для сайта низкого трафика даже статическая капча (изображение, которое просто имеет тот же текст в нем каждый раз) будет работать очень хорошо.
Проверьте HTTP referrer для проверки POST прибывает из формы контакта. Много ботов будут имитировать это, хотя, таким образом, это не ужасно полезно.
Используйте скрытые поля формы, чтобы попытаться обмануть ботов. Например, создайте названное поле phone_number на Вашей форме, и скрывают его с CSS в Вашей таблице стилей (дисплей: ни один). Бот будет обычно заполнять то поле (они обычно заполняют все поля для предотвращения возможных ошибок проверки обязательного поля), но пользователь не был бы, так как это скрыто. Таким образом на POST Вы проверяете на значение в том поле и ТИХО не удаетесь отправить сообщение, если существует значение в нем. Я нахожу, что один только этот метод является очень эффективным.

11

permissions active-directory security

задан Ben 25 May 2010 в 19:47

Ссылка

4 ответа

Создайте группу как "компьютерные администраторы", затем открывают, снимок Active Directory Users & Computers MMC - в щелкают правой кнопкой по OU, где Вы хотите, чтобы они дали права, если Вы хотите, дают им, права по целому домену затем щелкают правой кнопкой по доменному имени, выбирают опцию управления делегата.

в получающемся выборе мастера группа Вы создали ранее "компьютерных администраторов", нажимают, затем затем нажимают Create a Custom Task для делегирования затем щелчка затем.

затем выберите, "только следующие объекты в папке" затем отмечают "компьютерные объекты" из списка и также отмечают эти два поля внизу. "создайте выбранный объект в папке", и "удаляют выбранный объект в папке", нажимают затем.

На следующем экранном "Полном контроле" выбора из списка затем нажимают затем

следующий экран покажет Вам, сводка делегации затем нажимает конец.

после того, как сделанный, добавьте одного из пользователей в "компьютерную администраторскую группу " и попытайтесь выполнить различную задачу, которую Вы хотите.

4

ответ дан KAPes 2 December 2019 в 21:48

Ссылка

Да, необходимо использовать делегацию управления. В то время как я мог пройти и объяснить шаг за шагом, как сделать это, существует более легкое решение. Загрузите и установите ADManagerPlus от ManageEngine и используйте их инструмент AD Delegation для установки вещей для себя. Они предопределили роли Справочной службы, которые можно использовать для предоставления соответствующего доступа рассматриваемым пользователям. Изучите Компьютерную роль Modifiy, поскольку я полагаю, что это - то, что Вы ищете.

1

ответ дан joeqwerty 2 December 2019 в 21:48

Ссылка

Можно создать определенную "Панель задач" mmc, чтобы они использовали, любил здесь: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

В основном это - настроенная версия MMC, который заблокирован к использованию определенных средств управления, как, создав пользователей, создав компьютеры и т.д. В зависимости от настроек/полномочий делегации, определяет то, что они могут сделать оттуда.

1

ответ дан Grizly 2 December 2019 в 21:48

Ссылка

1

Хорошее предложение, но это doesn' t ограничивают то, что у них есть доступ к использованию других инструментов или методов. Если они устанавливают администраторский пакет и запускают ADUC they' ll имеют доступ ко всему, если Вы не используете делегацию управления с надлежащим типом учетной записи пользователя. Безопасность через мрак shouldn' t быть единственным используемым механизмом безопасности. – joeqwerty 28 May 2010 в 02:44
2

можно установить полномочия на ldap дереве с помощью aduc (используйте " Представление-> усовершенствованный features" и Вы видите вкладку безопасности на OU' s и т.д.) так, чтобы обычные пользователи не могли изменить настройки/вещи.. они могут только просмотреть их. Однако, если бы Вы планируете делегирование задач сотруднику, можно было бы надеяться, что Вы доверяете им – Grizly 3 June 2010 в 09:53

Похожие вопросы

Хорошее предложение, но это doesn' t ограничивают то, что у них есть доступ к использованию других инструментов или методов. Если они устанавливают администраторский пакет и запускают ADUC they' ll имеют доступ ко всему, если Вы не используете делегацию управления с надлежащим типом учетной записи пользователя. Безопасность через мрак shouldn' t быть единственным используемым механизмом безопасности. — joeqwerty, 28 May 2010 в 02:44
можно установить полномочия на ldap дереве с помощью aduc (используйте " Представление-> усовершенствованный features" и Вы видите вкладку безопасности на OU' s и т.д.) так, чтобы обычные пользователи не могли изменить настройки/вещи.. они могут только просмотреть их. Однако, если бы Вы планируете делегирование задач сотруднику, можно было бы надеяться, что Вы доверяете им — Grizly, 3 June 2010 в 09:53

Ryan Bolger · Accepted Answer · 2 December 2019 в 21:48

Я на самом деле должен был настроить это для меня недавно. У нас есть некоторый пользовательский код, который делает компьютерную предварительную подготовку для новых компьютеров, когда они начальная загрузка PXE и выполняют как услуга учетную запись.

Проверьте на учетные записи компьютера в AD

Любой пользователь в группе Пользователей домена должен смочь сделать это из поля без любых дополнительных полномочий, если Вы не изменили полномочия по умолчанию в местах или добавили, Отклоняют ACLs на вещах.

Соедините компьютеры с доменом (не ограниченный 10, как обычный пользователь)
Удалите компьютеры из AD
Переместите компьютеры между OUs

Для них сначала необходимо решить, где Вы хотите, чтобы этот доступ был дан. Легко просто дать разрешения в корне домена, но не ужасно мудрое. Обычно, у Вас есть OU или набор OUs, где учетные записи компьютера живут. Таким образом, необходимо применить следующие полномочия к тем контейнерам конкретно. Полномочия соединить компьютер с доменом просто требуют способности создать учетную запись компьютера, и установить это - свойства. Перемещение компьютера между OUs требует способности удалить учетную запись из одного места и создать его в другом. Однако вот то, какие разрешения необходимо дать на каждом OU:

Этот объект и все потомки
- Создайте Компьютерные объекты
- Удалите Компьютерные объекты
Порожденные Компьютерные объекты
- Считайте все свойства
- Запишите все свойства
- Изменить пароль
- Измените пароль
- Проверенная запись к названию хоста DNS
- Проверенная запись для обслуживания принципала

У меня также есть дополнительный совет. Не давайте эти разрешения к сервисной учетной записи непосредственно. Создайте группу как Компьютерные Администраторы и сделайте сервисную учетную запись членом той группы. Затем дайте разрешения группе. Тот путь, если у Вас есть дополнительные люди или сервисные учетные записи, которым нужны те же полномочия, Вы только, должен изменить членство группы.

Учетная запись для чтения AD соедините машину с доменом, удалите учетные записи компьютера и компьютеры перемещения к OUs

Теги

Похожие вопросы