Mengapa pengguna dibuat di pengontrol domain selalu menjadi bagian dari domain?

10

Mengapa pengguna dibuat di pengontrol domain selalu menjadi bagian dari domain?

Ketika saya ingin membuat pengguna lokal di pengontrol domain net user <username> <password> /add,, saya menemukan bahwa pengguna secara otomatis termasuk dalam Domain Usersgrup.

Saya ingin membuat akun administrator lokal di pengontrol domain, bukan bagian dari domain, yang dapat masuk ke pengontrol domain secara interaktif dan menjalankan tugas administratif.

Apakah ini mungkin?

windows active-directory Shuzheng
sumber
2
Tidak. Itu tidak mungkin.
joeqwerty

Jawaban:

3

Akun lokal disimpan dalam file yang disebut basis data SAM . Ini ada pada pengontrol domain - jika Anda mem-boot pengontrol domain dalam mode pemulihan maka akun yang Anda gunakan untuk melakukan ini hanyalah akun administrator lokal di database SAM. Namun ketika Windows berjalan secara normal, akses ke database SAM dinonaktifkan dan tidak ada akun di dalamnya yang dapat digunakan. Itu berarti tidak mungkin untuk masuk dengan akun lokal di pengontrol domain.

Namun ini bisa dilakukan jika Anda senang bekerja dari baris perintah dan jika Anda tidak memerlukan akses jaringan. Caranya adalah dengan masuk sebagai akun sistem lokal. Windows tidak menyediakan cara untuk melakukan ini, tetapi saya telah melakukannya dengan menulis server telnet sederhana kemudian menjalankannya sebagai layanan menggunakan akun sistem lokal. Ketika Anda terhubung ke server telnet Anda login sebagai akun sistem bukan akun domain. Satu-satunya batasan adalah bahwa itu hanya baris perintah dan akun sistem tidak memiliki akses jaringan. Jika Anda akan menggunakan retasan seperti ini, berhati-hatilah dengan keamanan!

Meskipun semua ini terdengar seperti peretasan yang mengerikan, ia memang memiliki kegunaan yang sah. Sebagai contoh di tempat kerja kami menggunakan alat manajemen yang disebut N-mampu yang memungkinkan akses jarak jauh ke konsol di server, dan itu pada dasarnya menggunakan teknik yang saya jelaskan di atas. Jika saya membuka konsol di salah satu pengontrol domain kami dan menggunakan perintah whoami saya dapatkan:

masukkan deskripsi gambar di sini

Catatan kaki

Windows tidak memiliki metode bawaan untuk membuka prompt perintah jarak jauh, tetapi ketika grawity menyebutkan dalam komentar Utilitas psexec SysInternals dapat melakukan ini, dan utilitas SysInternals disediakan dan didukung oleh Microsoft sehingga ini setidaknya semi resmi. Menggunakan psexec di salah satu server saya saya dapatkan:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.
John Rennie
sumber
Apakah Anda menemukan kembali SysInternals psexec -s ?
user1686
1
@ kegembiraan Saya pertama kali melakukan ini pada Windows NT 3.1 sebelum ada utilitas Sysinternals :-) Namun Anda membuat poin yang bagus. Saya lupa bahwa psexec bisa melakukan itu.
John Rennie
1
Poin yang diambil. Meskipun semoga telnetd "terbuka lebar" asli tidak digunakan sekarang?
user1686
23

Tidak, ini tidak mungkin. Pengontrol domain tidak memiliki database autentikasi sendiri. Itu digantikan oleh Active Directory ketika dipromosikan ke Domain Controller.

leher panjang
sumber
2
Ini menjawab "Apakah ini mungkin?" dari badan pertanyaan, tetapi tidak menjawab "mengapa" dari judul. Adakah insigths pada bagian "mengapa"?
Mołot
8
Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controlleritu sebabnya. Jadi ini menjawab mengapa.
joeqwerty
4
@ Peterh Hanya Microsoft yang tahu mengapa mereka mendesainnya, tapi saya ragu mereka tahu. Selama penyerahan saya, sebagian besar pertanyaan "mengapa" harus saya jawab dengan "Saya lakukan karena ini adalah hal pertama yang terlintas dalam pikiran, dan itu berhasil, dan setelah itu, tidak pernah mengubah sistem yang sedang berjalan."
Alexander
5
Jujur, jika pertanyaannya adalah "Mengapa Microsoft mendesainnya seperti ini?" adalah pertanyaannya, saya akan VTC. Setiap jawaban yang akan kami berikan akan menjadi spekulasi murni (kecuali jika seseorang di sini mengerjakan proyek itu di MS circa 1999-ish?).
Katherine Villyard
2
Saya adalah MS MVP untuk server Windows saat itu dan melakukan beberapa hal dengan tim beta "NT 5" dan pergi ke beberapa pertemuan di mana keputusan desain dibahas. Argumennya adalah bahwa sebenarnya tidak ada yang namanya tindakan administrator "lokal" pada pengontrol domain karena ada sesuatu yang berpotensi mempengaruhi domain. Ingin me-reboot DC? Ingin menambah atau menghapus peran? Ingin mengubah pengaturan DNS pada kartu jaringan? Semua berpotensi dapat mempengaruhi kemampuan DC untuk melayani domainnya dan oleh karena itu tidak benar-benar tindakan "admin lokal" pada DC.
Rob Moir