Назад | Перейти на главную страницу

Получение локальных администраторов при входе пользователя в систему, затем запись в сетевой ресурс

Мне дали проблему, выходящую за пределы моей рулевой рубки, и я не уверен, как лучше ее решить. Проблема, которую я пытаюсь решить, двоякая:

  1. Удалите необоснованные учетные записи с правами администратора.
  2. Удалите права администратора из учетных записей на уровне пользователей.

Я хочу запустить сценарий PowerShell при входе в систему, извлечь учетные записи из группы администраторов и сохранить их в CSV на сетевом диске. Написал скрипт и протестировал локально, работает безупречно. Однако общий ресурс, на который я хочу написать, доступен только для команды кибербезопасности. Я считаю, что если я запустил сценарий от имени учетной записи NT AUTHORITY / SYSTEM, я также смогу писать в общий сетевой ресурс без проблем.

Итак, мои вопросы:

  1. Нужно ли мне настроить этот сценарий как сценарий GPO, чтобы убедиться, что он использует правильную учетную запись?
  2. Верно ли, что NT AUTHORITY / SYSTEM сможет получить нужные мне учетные записи и записать их в общий сетевой ресурс?
  3. Есть ли другой способ сделать это, который я не рассматриваю?

Пункт 1 - Думаю, я понял ваш вопрос. Вы спрашиваете о сценарии, заданном в объекте групповой политики, и сценарии, заданном в поле сценария входа пользователя в AD? Тогда вы на правильном пути, но немного ошибаетесь. Сценарий входа в GPO, определенный в конфигурации пользователя (или сценарий входа пользователя AD), запускается от имени пользователя - он запускается при входе в систему для этого пользователя, поэтому он запускается от имени пользователя. Сценарий запуска машины, определенный в объекте групповой политики конфигурации компьютера, будет запускаться от имени учетной записи NT AUTHORITY / SYSTEM локальной рабочей станции.

Пункт 2 - неверно, NT AUTHORITY / SYSTEM имеет права только в локальной системе, на которой он запущен - в вашем сценарии это рабочая станция. У этой учетной записи не будет прав на общий сетевой ресурс. Если вы работаете как сценарий запуска, то есть как SYSTEM, вы можете разрешить GUEST записывать в этот общий ресурс и папку, но не читать. Если вы работаете как сценарий входа в систему, вы можете разрешить «пользователям домена» писать, но не читать.

В любом случае, если каждый экземпляр сценария записывает в уникальный CSV-файл, возможно, имя рабочей станции, на которой он работает, возможно, объединенное с меткой даты и времени, все должно быть в порядке.

Пункт 3 - как сказал Дж. Скотт, вы можете определить это в группах с ограничениями, а не вручную исследовать и исправлять. Лучше определить то, что вы хотите, в политике, чем применять пластыри.

РЕДАКТИРОВАТЬ:

Пункт 3 вариант 2 - напишите или найдите функцию для удаленного подключения к машине с Windows и выгрузите (рекурсивно) членов локальной группы администраторов. Создайте массив всех машин в вашем домене. В качестве учетной записи с правами администратора на машине с доступом ко всем машинам запустите эту функцию для массива, возможно, с некоторой интеллектуальной проверкой / журналированием машин, которые недоступны, чтобы вы могли снова запустить их и / или очистить свой AD. если есть устаревшие машины. Экспортируйте результат в файлы CSV.