Forum
Merhabalar,
Her biri en az 80 pc'den oluşan ve 14 site'dan oluşan bir oluşumumuz var ve tüm pc'lerin local admin şifrelerini otomatik olarak gpo ve script vasıtası ile clientlara uyguluyoruz. Client'larımıza olabildiğince az yetki tanımladık ve sınırlı kullanıcı konumundalar lakin \\server_ip\sysvol klasörüne bağlanıp ilgili script dosyasını açıp okuyabiliyorlar ve plainttext formattaki admin şifresinide öğrenmiş oluyorlar. Acaba bu tip bir sorun için önerebileceğiniz daha uygun bir yol veya bunu scriptsiz yapan bir program varmı?
Cevaplarınız için şimdiden teşekkürler
Saygılarımla.
merhaba;
Clientlarınız SYSVOL dosyasını ancak paylaşımdan görüp ulaşabilir.AD yi kurduğunuz zaman syvol doyası paylaşımda olabiliyor sanırım paylaşımı kapatır iseniz sorununuz halolur.
merhaba
paylaşımı kapatmayı denemeyin cunku clıent 'ler gpo ayarlarını sysvol klasorunden alırlar ve ekledıgınız scriptleride
script'i gizlemeyi deneyin yada polıcy uygulandıktan sonra kaldırın.
Kolay Gelsın.
server uzerinde share$ seklinde gizli bir paylasim acip sifre degistirdiginiz scripti burdan cagirirsaniz muhtemelen bu paylasimi
direk olarak goremeyecekleri icin sifrelere erisemeyeceklerdir
kolay gelsin
Ne yazık ki bunlar çare olmuyor ve biz script'i anlık bile olsa koyup client'lara uygulasak artık nereden nasıl öğrendiyse meraklı bi kaç kullanıcımız tarafından localadmin password'leri ele geçiriliyor. Ve görüyoruz ki bu hep "sysvol" klasöründeki scritp dosyasına erişilerek yapılıyor. Domain ortamı için daha etkili veya programsal bir çözümü yokmu bunun?
Ne yazık ki bunlar çare olmuyor ve biz script'i anlık bile olsa koyup client'lara uygulasak artık nereden nasıl öğrendiyse meraklı bi kaç kullanıcımız tarafından localadmin password'leri ele geçiriliyor. Ve görüyoruz ki bu hep "sysvol" klasöründeki scritp dosyasına erişilerek yapılıyor. Domain ortamı için daha etkili veya programsal bir çözümü yokmu bunun?
Merhabalar,
Vasfi Bey'in soyledigi sekilde yapabilirsiniz. Yeni bir klasor olusturup paylasim isminin sonuna $ isareti koyarsaniz bu klasor network'te gozukmez. Dolayisi ile script'i bu yoldan cagirirsaniz problem cikmamasi gerekir.
Share ettiğim bir resource'un sonuna $ imi koyup hidden oldugunu biliyorum ancak en kısıtlı bir kullanıcı dahi masaüstüne kısayol oluşturup path olarak \\servername\sysvol yazdığı anda zaten o klasöre read hakları ile girip görüntüleyebilmekte ve problemde burada ortaya çıkmakta . Bana göre olması gereken oturum açılımı işlemi sırasındaki süreç veya gpupdate olayı hariç bu klasöre access denied vermesi ancak buda ne kadar mümkün afaik.