Domena - brisanje/izmjena datoteka - tko i kako?

Deamon101 · 07.01.2014., 16:55

Poštovani

Imam jedan problem.

Radi se o tome da je firma namještena na način da smo svi u domeni i svi se spajamo preko accounta sa domene(domain users) osim nas naravno informatičara koji smo domain administratori.

Problem je taj što već neko vrijeme nestaju dokumenti sa 2 računala(2 korisnika) koji rade na istim stvarima.

Pitanje je : kako saznati tko je i kada brisao?

Znam da se može pristupiti računalima npr. dok su upaljena sa \\imeračunala\c$ pa tako se može i prčkati po disku....isto tako svako računalo ima i lokalni admin account za koji nije isključeno da netko zna šifru...

Even viewer mi ništa ne pomaže....pod windows/security

...tu bih trebao danima valjda tražiti informaciju jer je brdo logova...a filteri su mi ništa korisit odnosno trebam se više informirati oko toga koju informaciju tražim(u biti tražim potencijalni winlogon...ili logon ili kako već i znam da će to vjerojatno biti zabilježeno...dok npr. gornji primjer sa \\imeračunala\c$ vjerojatno neće nigdje biti zapisan?

Jedino što mi kao informatičaru pada na pamet da stavim kod njih bios password pa da tako testiramo...al opet...netko može dok ljudi rade neometano pristupiti c: i raditi što hoće tako da to nije najsretnije riješenje.

Hvala svima na trudu!

edit : istražujem auditing kako se s time radi to valjda tome i služi..
edit 2 : oh Bože auditing bilježi sve i svašta ali probam to sutra nekako na poslu složit...za par minuta rada on zabilježi 100 stranica podataka...kad bih išao rezimirat jedan radni dan to bi trajalo vječnost..

syss · 07.01.2014., 18:48

ak vam je postavljeno da svi mogu preko admin share-a doći do diskova onda je to blago rečeno loše postavljeno

ne kužim ovo sa bios paswordom?

zakaj ne zakriptirate te diskove i dženja?

isto tako možeš napraviti remote manage na te kompove i gledaj tko ti je sve logiran na koji share pa odeš fino do te osobe i pitaš da kaj on ima se logirati na tuđi komp, obično se onda ekipa zasere i prestanu se događati takvi "gremlini".

tor · 07.01.2014., 18:55

pa ne može preko admin shera do diska ako ne zna admin podatke jel...
I ako sam dobro shvatio - svaki komp ima svoje podatke kod sebe lokalno, na koje se po potrebi spaja netko od drugih korisnika i rad na tim istim podacima, a i obrnuto? To je prilično loše, što zbog ovakvih stvari, što zbog backupa i slično. Ne znam koliko kompova je u igri, no jedan kakav takav centralni file server ili imalo napredniji NAS bi to dovelo u malo veći red nego što je sad.

I što znači "osim nas informatičara koji se spajamo kao domain admini"? Pa nije vrag da na kompu radiš pod domain admin userom?

I uz to, vas je koliko takvih koji svakodnevno švrljaju po domeni s admin ovlastima nad njom?

syss · 07.01.2014., 18:59

Citiraj:

Autor tor

pa ne može preko admin shera do diska ako ne zna admin podatke jel...

bravo šerloče

Citiraj:

Autor Deamon101

...isto tako svako računalo ima i lokalni admin account za koji nije isključeno da netko zna šifru...

tor · 07.01.2014., 19:01

da i? Lokalni admin, pod "admin podatke" samo mislio domain admin pass

Jedino ako nisu svi lokalni admini postavljeni s istom šifrom koju je netko provalio

Onda mu ni ne treba domain admin podaci

syss · 07.01.2014., 19:04

pa spajaš se na lokalni admin share... brijem da će on primiti i lokalne i domain admin kredenšlse, možda sam u krivu isto tako.

tor · 07.01.2014., 19:09

s kompa na komp kao regular user nećeš ući preko admin shera ako nemaš domain admin user i pass, 100%. JEDINO ako ne znaš podatke od lokalnog admina tog kompa na koji se spajaš naravno, a i onda ćeš moći samo na taj komp ofkors, a i ne na sve ostale u mreži jel.

syss · 07.01.2014., 19:12

brijem da imaju isti password za lokalne admine na svim strojevima zato i velim da ako netko zna pass može samo letat s kompa na komp.

tak jasno da ko juzer nemreš uletit na admin šer jer se to zove admin šer, a ne user šer

tor · 07.01.2014., 19:26

tak već da, no sad smo već otišli malo predaleko, a od njega ni traga ni glasa

syss · 07.01.2014., 19:27

da... mene zanima još uvijek ovaj bios pass dio

tor · 07.01.2014., 19:36

da, i to bih volio čuti između ostaloga

Mislim, kakav je to informatičar a nije onlajn stalno, pogotovo na temi koju je i otvorio

syss · 07.01.2014., 19:42

definitivno popričati sa njegovim nadređenima ne zbog probijene admin šifre, pa čak i ne (pretpostavljam) zbog biosa, nego zbog nebivanja online stalno

Forace · 07.01.2014., 19:50

Kak niste skužili bios dio? Pa staviš bios šifru ... i to je to

, po mogućnosti master tako da ne može user niti komp upalit i fino kad pali komp informatičar dolazi do njega - ukucava mu šifru i potrvrđuje da je korisnik taj koji treba biti

.

Deamon101 · 07.01.2014., 21:11

Ah zašto nije online strgan od posla pa odspavao do sad

a i nisam očekivao interes za ovakvu temu da će mi itko odgovoriti.

Zaboravite bios password.

Da pojasnim još jednom...

Više stotina user-a postoji, svaki user ima svoj komp i samo njega koristi sa svojim username/passwordom, koji nije lokalni user nego domain user, te iako netko drugi može upisati svoj username i pass na tuđi komp svejedno on nikako ne može vidjeti od drugog usera ni desktop, ni my documents, u biti ništa, ti useri osim na svom profilu nemaju nikakva prava izvan svog profila te nisu ni administratori..ne mogu instaliravat ništa.

Domain admin-a postoji možda cca 20 ili manje.

syss · 07.01.2014., 21:17

on "fizički" je lokalni user, ali ima domain user prava... naravno da nemre gledati profil drugog usera niti njegove dokumente.

da li su ti sporni fajlovi u profilu korisnika ili na ostatku diska negdje?

ako su u profilu korisnika pristupa im isključivo netko sa domain admin kredenšlsima pošto jedino oni i sam user mogu uletit u profil.

ako su drugdje na disku onda pristupa preko admin share-a remote ili lokalno pod bilo kojim userom.

Deamon101 · 07.01.2014., 21:23

Dokumenti su isključivo u profilu korisnika, i da jedino im domain admin + ako je netko saznao lokalni admin account/pass koji je na svim kompovima isti može pristupiti.

Ja odem do bilo kojeg PC-a u firmi, i upišem start/run/"\\imepca\c$" te me nakon tog pita username i pass, upišem "\\imepca\imelokalnogadminaccounta + pass" i vidim drive c...ili upišem svoj domena\username + pass pa me pusti jer sam admin.

Šefovi informatike su nam neslužbeno rekli da ne govorimo da je to moguće...tako prčkati po nečijem disku a da ovaj ni ne zna..

Uglavnom prvi korak će mi biti brisanje lokalnog administratorskog accounta da elimininiram da je netko saznao šifru i time ću svest sumnju na manji broj osoba očito..

I mislio sam staviti taj prokleti auditing na ta 2 desktop foldera i čekati da mi ovi prijave brisanje pa onda po datumu čačkat u event vieweru u nadi da ću naći neki podatak koji bi me vodio do počinitelja...

syss · 07.01.2014., 21:28

oke šefovi informatike moraju biti svjesni postojanja domain admina kao i njihovih moralnih te etičkih obaveza prema korisnicima i računalima.

prvi korak ti je korak od katastrofe iskreno

ni slučajno ubiti lokalnog admina nego jednostavno promijeni pass lokalnog admina na ta dva računala.

Forace · 07.01.2014., 21:35

Veliš više stotina usera ... jel vi imate roaming profile ili su user profili loklno pohranjeni? Jer ak su u pitanju roaming profili (ili je user profile na mreži tj. serveru) te ako postavke nad tim direktorijima na serveru nisu ispravno složene ... onda imate veselje ;D.

Ubijanje lokalnog admina te onda odpajanje računala iz mreže/domene bi mogao bit zanimljiv prizor, iako moram priznat da to nisam nikad probao, znam da sam se spasio par puta sa lokalnim adminom ...

.

Deamon101 · 07.01.2014., 21:36

Citiraj:

Autor syss

ni slučajno ubiti lokalnog admina nego jednostavno promijeni pass lokalnog admina na ta dva računala.

Ok promijenit ću pass samo pa vidjet...

Nego taj auditing(ukoliko ovo gore ne uspije) je onda jedini način da malo dublje pročačkam? On kad se postavi na neki folder onda kao prati sve promjene koje mu označiš da prati. Nisam to u životu nikad koristio pa eto pitam.

Forace - nisu roaming profili. Podaci su lokalno na kompu. A što se tiče admin acc...pa zaboga zato je tu HirensBoot s kojim kreiram user-a lokalnog po volji ili od-disejblam Administrator-a ako dođe do sr*.

Forace · 07.01.2014., 21:45

Pa poznavajući windowse vjerojatno se može konfigurirat što da točno prati. Vjerojatno dolazi na način da sve prati ali se vjerojatno se to može smanjit.

Ovdje napominje jednu zgodnu stvar:

http://technet.microsoft.com/en-us/l...8WS.10%29.aspx

Možeš konfigurirat auditing na folderu -> desni klik -> Advanced security .... i onda imaš kvačice succesful i failed za razne stvari ... pa onda postavi samo za delete i delete subfolders.

S tim da sam taj tab našao na sedmici ali koliko vidim trebalo bi radit i na serveru.

Deamon101 · 07.01.2014., 22:18

1. promijenim pass lokalnog administrator-a
2. stavim auditing na desktop folder od 2 usera i stavim kvačice da prati "delete"
3. čekam ponovni poziv i potraga po beskonačnom log-u od samo 24/48 sata

....jer ni korisnici obzirom na količinu datoteka ne mogu primjetiti promjene sve dok im ti dokumenti ne zatrebaju :/

Moglo bi proći par tjedana do ponovnog incidenta...možda pogledam kojeg poručnika Kolumba u međuvremenu

syss · 07.01.2014., 22:28

Citiraj:

Autor syss

isto tako možeš napraviti remote manage na te kompove i gledaj tko ti je sve logiran na koji share pa odeš fino do te osobe i pitaš da kaj on ima se logirati na tuđi komp, obično se onda ekipa zasere i prestanu se događati takvi "gremlini".

olakšaj si sa ovime, rađe to ostaviš negdje na desktopu upaljeno i baciš oko tu i tamo nego da iščitavaš log od 5mb

Forace · 07.01.2014., 22:34

Ili ... neka postavi praćenje logiranja na admin sharove .... to se ne dešava tako često ako sam dobro shvatio....

Znači tu mislim auditing na pristup admin sheru ... u biti logiranje toga što je syss rekao

.

Deamon101 · 07.01.2014., 22:50

"napraviti remote manage na tim kompovima" može objašnjenje?

ne znam o kakvim share govorite ovo su obični c:\documents and settings\user\dektop\folderi koji nisu shared.

syss · 07.01.2014., 22:58

desni gumb na computer, manage, action, connect to another computer, upiši ime stroja, system tools, shared folders, sessions... eh moj domain admine

Deamon101 · 07.01.2014., 23:04

Heh pa jel se ja hvalim nešto?

(prisjetio sam se toga sada kad si to rekao, ali budući da sam to koristio možda 1 i 2x zaboravio sam na to..)

Kakva mi je plaća tolko i vrijedim ja sam samo jedan mali kotačić u velikom sistemu

07.01.2014., 16:55	#1
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	Domena - brisanje/izmjena datoteka - tko i kako? Poštovani Imam jedan problem. Radi se o tome da je firma namještena na način da smo svi u domeni i svi se spajamo preko accounta sa domene(domain users) osim nas naravno informatičara koji smo domain administratori. Problem je taj što već neko vrijeme nestaju dokumenti sa 2 računala(2 korisnika) koji rade na istim stvarima. Pitanje je : kako saznati tko je i kada brisao? Znam da se može pristupiti računalima npr. dok su upaljena sa \\imeračunala\c$ pa tako se može i prčkati po disku....isto tako svako računalo ima i lokalni admin account za koji nije isključeno da netko zna šifru... Even viewer mi ništa ne pomaže....pod windows/security ...tu bih trebao danima valjda tražiti informaciju jer je brdo logova...a filteri su mi ništa korisit odnosno trebam se više informirati oko toga koju informaciju tražim(u biti tražim potencijalni winlogon...ili logon ili kako već i znam da će to vjerojatno biti zabilježeno...dok npr. gornji primjer sa \\imeračunala\c$ vjerojatno neće nigdje biti zapisan? Jedino što mi kao informatičaru pada na pamet da stavim kod njih bios password pa da tako testiramo...al opet...netko može dok ljudi rade neometano pristupiti c: i raditi što hoće tako da to nije najsretnije riješenje. Hvala svima na trudu! edit : istražujem auditing kako se s time radi to valjda tome i služi.. edit 2 : oh Bože auditing bilježi sve i svašta ali probam to sutra nekako na poslu složit...za par minuta rada on zabilježi 100 stranica podataka...kad bih išao rezimirat jedan radni dan to bi trajalo vječnost.. Zadnje izmijenjeno od: Deamon101. 07.01.2014. u 17:38.

07.01.2014., 23:04	#26
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	Heh pa jel se ja hvalim nešto? (prisjetio sam se toga sada kad si to rekao, ali budući da sam to koristio možda 1 i 2x zaboravio sam na to..) Kakva mi je plaća tolko i vrijedim ja sam samo jedan mali kotačić u velikom sistemu Zadnje izmijenjeno od: Deamon101. 07.01.2014. u 23:18.

07.01.2014., 18:48	#2
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	ak vam je postavljeno da svi mogu preko admin share-a doći do diskova onda je to blago rečeno loše postavljeno ne kužim ovo sa bios paswordom? zakaj ne zakriptirate te diskove i dženja? isto tako možeš napraviti remote manage na te kompove i gledaj tko ti je sve logiran na koji share pa odeš fino do te osobe i pitaš da kaj on ima se logirati na tuđi komp, obično se onda ekipa zasere i prestanu se događati takvi "gremlini".

07.01.2014., 18:55	#3
tor Administrator Moj komp Datum registracije: Nov 2001 Lokacija: Sesvete Postovi: 15,962	pa ne može preko admin shera do diska ako ne zna admin podatke jel... I ako sam dobro shvatio - svaki komp ima svoje podatke kod sebe lokalno, na koje se po potrebi spaja netko od drugih korisnika i rad na tim istim podacima, a i obrnuto? To je prilično loše, što zbog ovakvih stvari, što zbog backupa i slično. Ne znam koliko kompova je u igri, no jedan kakav takav centralni file server ili imalo napredniji NAS bi to dovelo u malo veći red nego što je sad. I što znači "osim nas informatičara koji se spajamo kao domain admini"? Pa nije vrag da na kompu radiš pod domain admin userom? I uz to, vas je koliko takvih koji svakodnevno švrljaju po domeni s admin ovlastima nad njom?

07.01.2014., 19:01	#5
tor Administrator Moj komp Datum registracije: Nov 2001 Lokacija: Sesvete Postovi: 15,962	da i? Lokalni admin, pod "admin podatke" samo mislio domain admin pass Jedino ako nisu svi lokalni admini postavljeni s istom šifrom koju je netko provalio Onda mu ni ne treba domain admin podaci

07.01.2014., 19:04	#6
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	pa spajaš se na lokalni admin share... brijem da će on primiti i lokalne i domain admin kredenšlse, možda sam u krivu isto tako.

07.01.2014., 19:09	#7
tor Administrator Moj komp Datum registracije: Nov 2001 Lokacija: Sesvete Postovi: 15,962	s kompa na komp kao regular user nećeš ući preko admin shera ako nemaš domain admin user i pass, 100%. JEDINO ako ne znaš podatke od lokalnog admina tog kompa na koji se spajaš naravno, a i onda ćeš moći samo na taj komp ofkors, a i ne na sve ostale u mreži jel.

07.01.2014., 19:12	#8
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	brijem da imaju isti password za lokalne admine na svim strojevima zato i velim da ako netko zna pass može samo letat s kompa na komp. tak jasno da ko juzer nemreš uletit na admin šer jer se to zove admin šer, a ne user šer

07.01.2014., 19:26	#9
tor Administrator Moj komp Datum registracije: Nov 2001 Lokacija: Sesvete Postovi: 15,962	tak već da, no sad smo već otišli malo predaleko, a od njega ni traga ni glasa

07.01.2014., 19:27	#10
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	da... mene zanima još uvijek ovaj bios pass dio

07.01.2014., 19:36	#11
tor Administrator Moj komp Datum registracije: Nov 2001 Lokacija: Sesvete Postovi: 15,962	da, i to bih volio čuti između ostaloga Mislim, kakav je to informatičar a nije onlajn stalno, pogotovo na temi koju je i otvorio

07.01.2014., 19:42	#12
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	definitivno popričati sa njegovim nadređenima ne zbog probijene admin šifre, pa čak i ne (pretpostavljam) zbog biosa, nego zbog nebivanja online stalno

Oglasni prostor
PC Ekspert Forum Oglas

07.01.2014., 19:50	#13
Forace Premium Moj komp Datum registracije: Jul 2012 Lokacija: Petrinja Postovi: 1,604	Kak niste skužili bios dio? Pa staviš bios šifru ... i to je to , po mogućnosti master tako da ne može user niti komp upalit i fino kad pali komp informatičar dolazi do njega - ukucava mu šifru i potrvrđuje da je korisnik taj koji treba biti .

07.01.2014., 21:11	#14
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	Ah zašto nije online strgan od posla pa odspavao do sad a i nisam očekivao interes za ovakvu temu da će mi itko odgovoriti. Zaboravite bios password. Da pojasnim još jednom... Više stotina user-a postoji, svaki user ima svoj komp i samo njega koristi sa svojim username/passwordom, koji nije lokalni user nego domain user, te iako netko drugi može upisati svoj username i pass na tuđi komp svejedno on nikako ne može vidjeti od drugog usera ni desktop, ni my documents, u biti ništa, ti useri osim na svom profilu nemaju nikakva prava izvan svog profila te nisu ni administratori..ne mogu instaliravat ništa. Domain admin-a postoji možda cca 20 ili manje.

07.01.2014., 21:17	#15
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	on "fizički" je lokalni user, ali ima domain user prava... naravno da nemre gledati profil drugog usera niti njegove dokumente. da li su ti sporni fajlovi u profilu korisnika ili na ostatku diska negdje? ako su u profilu korisnika pristupa im isključivo netko sa domain admin kredenšlsima pošto jedino oni i sam user mogu uletit u profil. ako su drugdje na disku onda pristupa preko admin share-a remote ili lokalno pod bilo kojim userom.

07.01.2014., 21:23	#16
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	Dokumenti su isključivo u profilu korisnika, i da jedino im domain admin + ako je netko saznao lokalni admin account/pass koji je na svim kompovima isti može pristupiti. Ja odem do bilo kojeg PC-a u firmi, i upišem start/run/"\\imepca\c$" te me nakon tog pita username i pass, upišem "\\imepca\imelokalnogadminaccounta + pass" i vidim drive c...ili upišem svoj domena\username + pass pa me pusti jer sam admin. Šefovi informatike su nam neslužbeno rekli da ne govorimo da je to moguće...tako prčkati po nečijem disku a da ovaj ni ne zna.. Uglavnom prvi korak će mi biti brisanje lokalnog administratorskog accounta da elimininiram da je netko saznao šifru i time ću svest sumnju na manji broj osoba očito.. I mislio sam staviti taj prokleti auditing na ta 2 desktop foldera i čekati da mi ovi prijave brisanje pa onda po datumu čačkat u event vieweru u nadi da ću naći neki podatak koji bi me vodio do počinitelja...

07.01.2014., 21:28	#17
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	oke šefovi informatike moraju biti svjesni postojanja domain admina kao i njihovih moralnih te etičkih obaveza prema korisnicima i računalima. prvi korak ti je korak od katastrofe iskreno ni slučajno ubiti lokalnog admina nego jednostavno promijeni pass lokalnog admina na ta dva računala.

07.01.2014., 21:35	#18
Forace Premium Moj komp Datum registracije: Jul 2012 Lokacija: Petrinja Postovi: 1,604	Veliš više stotina usera ... jel vi imate roaming profile ili su user profili loklno pohranjeni? Jer ak su u pitanju roaming profili (ili je user profile na mreži tj. serveru) te ako postavke nad tim direktorijima na serveru nisu ispravno složene ... onda imate veselje ;D. Ubijanje lokalnog admina te onda odpajanje računala iz mreže/domene bi mogao bit zanimljiv prizor, iako moram priznat da to nisam nikad probao, znam da sam se spasio par puta sa lokalnim adminom ... .

07.01.2014., 21:45	#20
Forace Premium Moj komp Datum registracije: Jul 2012 Lokacija: Petrinja Postovi: 1,604	Pa poznavajući windowse vjerojatno se može konfigurirat što da točno prati. Vjerojatno dolazi na način da sve prati ali se vjerojatno se to može smanjit. Ovdje napominje jednu zgodnu stvar: http://technet.microsoft.com/en-us/l...8WS.10%29.aspx Možeš konfigurirat auditing na folderu -> desni klik -> Advanced security .... i onda imaš kvačice succesful i failed za razne stvari ... pa onda postavi samo za delete i delete subfolders. S tim da sam taj tab našao na sedmici ali koliko vidim trebalo bi radit i na serveru.

07.01.2014., 22:18	#21
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	1. promijenim pass lokalnog administrator-a 2. stavim auditing na desktop folder od 2 usera i stavim kvačice da prati "delete" 3. čekam ponovni poziv i potraga po beskonačnom log-u od samo 24/48 sata ....jer ni korisnici obzirom na količinu datoteka ne mogu primjetiti promjene sve dok im ti dokumenti ne zatrebaju :/ Moglo bi proći par tjedana do ponovnog incidenta...možda pogledam kojeg poručnika Kolumba u međuvremenu

07.01.2014., 22:34	#23
Forace Premium Moj komp Datum registracije: Jul 2012 Lokacija: Petrinja Postovi: 1,604	Ili ... neka postavi praćenje logiranja na admin sharove .... to se ne dešava tako često ako sam dobro shvatio.... Znači tu mislim auditing na pristup admin sheru ... u biti logiranje toga što je syss rekao .

07.01.2014., 22:50	#24
Deamon101 Premium Moj komp Datum registracije: Aug 2007 Lokacija: Zagreb Postovi: 613	"napraviti remote manage na tim kompovima" može objašnjenje? ne znam o kakvim share govorite ovo su obični c:\documents and settings\user\dektop\folderi koji nisu shared.

07.01.2014., 22:58	#25
syss Moderator Moj komp Datum registracije: Nov 2003 Lokacija: Zagreb Postovi: 10,805	desni gumb na computer, manage, action, connect to another computer, upiši ime stroja, system tools, shared folders, sessions... eh moj domain admine