Архив форумов ЦИТФорума

[Saw]

Привет всем!

Такая у меня проблема. Есть домен на НТ, без службы ДНС. Пользователи обычно работают не регистрируясь в домене, как в рабочей группе. Но к нам пришел командированный, со своим лэптопом (Вин2к), который является членом домена aaa.bbb. Гость прекрасно видит сетевое окружение. На своем сервере я завел пользователя и дал доступ, но он не может обратится к ресурсам нашей сети. При попытке обращения (ни через сетевое окружение, ни через IP сервера) получает ответ, что отсутствует сервер отвечающий за данное соединение. Возможность установления доверительных отношений с ихним доменом отсутствует (нет связи), локальный вход в лэптоп - не знает.
Я подозреваю, что это проблема возможна из-за отсутствия в сети ДНС и политик безопасности, но не знаю как и с какой стороны к ним подступиться.

Как временный выход, я открыл шары у него на компе (раз гора не идет к Магомету, ...), и теперь копируют к нему, но это конечно не дело.

Может кто подскажет, как можно решить проблему. Вариант с установкой дов.отн. с ихним доменом не реально.

Заранее спасибо.

[and3008]

-

[Saw]

Проводит какие-либо манипуляции на его компе - нет возможности (не знаю локального админ. аккаунта на компе гостя). Меня интересует, почему его комп не может обратиться к ресурсам другой сети даже если дан полный доступ. В журналах сервера даже нет сообщений о попытках обращения чужого компа, т.е. его комп сам блокирует попытку обращения ("нет сервера который отвечает за данное соедение").

[and3008]

-

[Saw]

Меня больше интересует причина: почему комп - не член домена (раб.группы) может иметь доступ, а член с другого домена - нет?
Такая же ситуация при обращении с чужого компа к любым ресурсам в сети, а не только к серверу.

Что может быть причиной?

З.Ы. Ввод гостя в наш домен нежелателен, так как у него есть софт со сложными настройками привязанные к своему домену.

З.З.Ы. Конечно, можно поднять псевдо-домен, зарегистрировать в нем гостя, установить доверительные отношения со своим, но это долго и не делать же так с каждым новым гостем (если еще появятся новые с других организаций).


(Извините за назойливость).

[and3008]

Ну раз тебе впадлу читать книжки, поучу я тебя кое-чему.

1. WinNT использует доменную систему безопасности. DNS тут ни при чем. В данном случае домен - это группа компов, которые управляются серваками. В домене единая система авторизации и аутентификации.

2. Для получения доступа к любому компу домена надо пройти авторизацию в домене. Исключения: настроены доверительные отношения между доменами или дан полный доступ к сетевым ресурсам.

3. Если комп прописан в домене, то для получения прав доступа клиент пытается найти контроллер домена. Если домен не найден - идите на фиг на Win9x, введите имя/пароль на WinNT/2000/XP

4. Когда комп прописывается в домене, то он получет уникальный SID (Security Identification Descriptor). Он никак не связан с имене компа, его IP-адресом, цветом, запахом и т.п. осязаемыми признаками. В базах данных слыхал про автоинкрементные поля? Вот тут типа тоже самое. Так что даже если ты поднимешь домен, то проблемму не решишь, т.к. в домене будут другой SID и комп в него ни на какой козе не въедет.

Так что пусть ваш командировочный позвонит в контору откудова приехал, спросит пароль, а ты введешь его комп в свой домен. На решение этой проблеммы уйдет максимум 30 минут.

[Saw]

Спасибо за подробное объяснение, но я это я знаю. Дело в другом.
Насколько я понимаю, если доменный комп работает вне достигаемости своего домена, полагаю, что свои права он берет из локального кэша (иначе не возможна работа вообще). Под псевдодоменом я имел ввиду поднять его, завести учетную запись и установить доверительные отношения со своим (т.е. авторизировать в нем командированного я не собирался). Я не знаю, после установления дов.отношений будут ли реплицироваться все правила безопасности и учетные записи (в.т. числе SID) касающихся каждого домена или только некая общая информация об установленных отношений (особенно если это не однородные системы, т.е W2k и WinNT). Хотя, по человечески, должен быть полный обмен информациями, в предыдущий раз с другим командированным это почему-то прошло (м.б. из-за того, что системы смешанные), он получил доступ к сетевым ресурсам.
Новый командированный из другого домена, м.б. будут приезжать и другие, притом всего на несколько дней. Каждый раз экспериментировать и поднимать новые домены - очень глупо, откровенно говоря я и сам не очень-то убежден в правильности этого, м.б. что-то глюкнуло.

Как рассказываешь в п.2 (исключения), должен быть дан полный доступ к ресурсам - так я говорю, что даже к расшаренным принтерам компа из рабочей группы (т.е. ресурс не в домене)он не может достучаться. Если бы он спрашивал пароль, или хотя бы "access denided", я бы знал где искать. Получается, что попытка соединения блокируется самим же компом ("нет сервера отвечающего за данное соединение", о каком сервере идет речь - о контроллере домена, разрешении имен - у них доменные суффиксы, а у нас нет, я не знаю), вернее не блокируется, а комп обращается не к ресурсу, а куда-то еще.
Как я говорил, нет даже записей в журнале контроллера домена, что кто-то пытался логиниться.

Что касается ввода в домен, сис.админы оттудова считают себя слишком крутыми, и не доверяют пароли никому. И еще, если я все таки введу гостя в наш домен, конечно он получит новый SID, а как быть с его приложениями, которые могут быть также привязаны к нему.

Если я что-то не догоняю, пардон. Можете оставить это без внимания. Все равно спасибо за обсуждение.

[and3008]

Раз админы крутые, они могли комп настроить тоже "круто". Эту крутизну ты сейчас расхлебываешь по полной программе.

Рекомендую не заниматься ерундой, а посылать в сад командировочных, не имеющих полных прав доступа к СВОЕМУ компу. Пусть сами с ним живут, как хотят.

Пару раз наступят на эти грабли - будут очень и очень умными.
В конце концов это их забота, а не твоя.

[MiK]

Если ты пришёл на форум с этим вопросом, значит тебя это задело лично, такое решение, как "пошли все командировочные в сад" ты бы не стал искать на форуме.
Решений на самом деле несколько, хотя каждое из них это изврат, но...
Самое сложное это узнать пароль администратора, это можно сделать лишь взломав хеш пароля из файла SAM (опустим варианты типа подсмотреть и т.п.), всем понятно это гимор, хотя и решаемо (к примеру травим на файл L0phtCrack и терпеливо ждём, многое будет зависить от правильного выбора символов подбора ну и т.д.)обозначим этот вариант "Для сведения")
Второй вариант попроще, но для него требуются определённые утилиты (будет интересно напишу названия - искать самостоятельно). Суть его заключается в следующем: на основе любого пароля генерятся NT-hash и LM-hash и записываются в V-блок встроенной учётной записи администратора (фаил SAM). Недостатки - да их практически нет, только если "крутые админы" удивятся почему учётная запись локального админа имеет другой пароль))
Но есть способ проще) Обойти проверку пароля которая осуществляется в билиотечке msv1_0.dll несложной поправочкой, ищем команду cmp eax, 10h либо шестнад-ый вид 83 F8 10
Проверка по смещению 1F9E -проверка правильности пароля для локального входа, встречается (в Win2000) около 10 раз, делаем так
1F9E:
nop
(90)

1F9F:
jmp.75B8233A
(E996030000)
Получаем пропатченную dll 'ку, заменяем ей настоящую к примеру программой ntcp делается так
ntcp msv1_0.dll///winnt/system32/msv1_0.dll
Всё, можно входить локально без пароля.
Перед отъездом командировочного, меняем всё назад (или нет)) )

[SAW]

Спасибо за отклик, но я хотел бы узнать причины, а не методы взлома. Как я говорил, у него какие-то специфические софты по установлению связи и обмену данными со своей корпорацией. Он как бы делает объезд, т.е. после нас поедет не к себе, а к другим клиентам, поэтому в этом случае попытка хакерства может привести неработоспособности его компа, и ему придется вернуться обратно (а это черевато ...).
Мне все таки кажется, дело не в крутой конфигурации его компа, а в том, что что-то не хватает в моей сети (я то лезу к нему в комп, а он нет).
А ваши сведения интересны, т.к. нередко приходится сталкиваться пользователями-склерозами, может понадобиться.

[and3008]

-

[MiK]

Не совсем понятно как эта машина логонится в домен в отсутствие такового, я сталкивался с этим на NT4, но в 2000, она же сразу ругается на недоступность домена????
Я уже наметил проверочку сымитировав данную ситуацию, больше всего смущает невозможность доступа к ресурсу зашареному с правами everyone. У вас же такая ситуация?

[MiK]

Времени бы побольше в сутках)

[MiK]

Читать: ..недоступность КОНТРОЛЛЕРА домена..

[SAW]

То что комп может логинится без контроллера, это не удивительно. Кажется в политиках есть параметр, который говорит о том, что права при недоступности контроллера брать из кэша (или нечто подобное: кешировать или не кешировать - если кешировать разрешено, то при отсутствии контроллера ипользуется из кэша).

Мне непонятно, что подразумевается в ответе при попытке обратиться к ресурсам на лок.компе - "нет сервера отвечающего за данное соединение" - какой сервер имеется ввиду - контроллер, DNS или еще что-то.
Туда, куда он пытается коннектиться, нет и следов об этом (не важно - сервер домена, комп. из раб.группы, ...). Кстати, он прекрасно ходит в инет через прокси (прописан IP-прокси, он не в домене).

[FSerg]

В смысле сменить пароль юзера при помощи "определённых утилит".
Если нужно, проверю на 2000 SP3.
DLL-ку патчить пока некогда.