שאלה למומחים

[gingis]

שאלה למומחים

יש לנו מערכת קטנה של כ 15 מחשבים כולם באותו דומיין כולם 2000 הבעיה שלנו היא כלדלהלן: יש לנו תחנת עבודה 2000 פרו שעליה אנו התקנו סרוויס שתפקידו הוא להעתיק כמה קבצים שנמצאים על אחד השרתים אשר הוא גם בדומיין אבל הוא אינו DC המתכנת רוצה מאוד להריץ את השירות בתור LOCAL SYSTEM ACC. זה עובד יפה מאוד ברשת מקבילה אבל עם תחנות עבודה של XP. אנחנו חייבים להריץ את הרשת על 2000 פרו. בדקנו כיוון של הרשאות, והן אלו: על כל המחשבים יש שלושה יוזרים: 1. אדמיניסטרטור של הדומיין הרשאות NTFS על מחיצה C 2.אדמיניסטרטור של התחנה לוקלי הרשאות NTFS על מחיצה C 3. יוזר רגיל של הדומיין הרשאות NTFS על מחיצה C ישנו מאמר ברשת שאומר שאי אפשר להריץ עם הלוקל סיסטם שירות ברשת על מחשב אחר ב2000 הכוונה ל nt authority. האם זה נכון שאי אפשר לעשות פעולות ברשת עם חשבון הלוקל סיסטם? ועם זה לא נכון וכן אפשרי אזי אבקש הסבר מפורט איך למה וכמה.

 

[בעז 21]

לא הבנתי את השאלה.

 

[gingis]

איזה חלק לא הבנת?

 

[gingis]

אני אנסה להבהיר את התמונה

המחשב שעליו מריצים את הסרוויס חשבון המשין (המכונה) שלו נמצא בתוך קבוצת SECURITY GLOBAL ב ACTIVE DIRECTORY. על השרת שעליו נמצאים הקבצים שיש להעתיק יש קובץ TEMP עם הרשאות NTFS על התיקיה לקבוצה המדוברת של חשבון המכונה. כאשר מריצים את הסרוויס על תחנת העבודה 2000 פרו הוא לא מצליח להעתיק את הקבצים אם הוא רץ תחת LOCAL SYSTEM אבל אם הוא רץ תחת אדמיניסטרטור הוא כן מעתיק את הקבצים. המתכנת מתעקש שיותר טוב במבחינת אבטחה להריץ את הסרוויס תחת לוקל סרוויס אני איני מתווכח אלא מחפש דרך לעשות זאת למרות שקראתי ברשת מאמר שאומר שאי אפשר להריץ חשבון זה בLAN מכיוון שאין לו סיסמא ולכן הוא לא עובד על 2000, אבל אני תוהה האם זה נכון בגלל שזה כן עובד על רשת מקבילה עם תחנות עבודה XP וגם שם יש הרשאות ספציפיות NTFS וכמובן שיש בשתי הרשתות הרשאות שיתוף ספציפי. ובכל זאת למרות השווי בין ההרשאות בשתי הרשתות זה עובד רק על אחת.

 

[operandx]

לי נראה שהמתכנת שלכם צריך..

לפנות לפורום תכנות או משהו :/ אולי זה באמת עדיף משיקולי אבטחה, אבל יש דרכים לעשות impersonation וכו'... שיעשה QA לתוכנה שלו על מערכות ההפעלה הרלוונטיות!

 

[gingis]

תודה על ההערה אבל זה התפקיד שלי

הוא כותב אני עושה QA גם אני חושב כמוך שזה לא אמור לעבוד על 2000 פרו אבל יש דעות אחרות למשל OFERBAR מפורום חלונות חושב שזה כן אמור לעבוד ומדובר רק בהרשאות ולכן חפרתי עוד קצת ומצאתי את המאמר הבא The security vulnerability of services originates with how organizations have traditionally deployed them. Services, like users, require a means of authentication to use computer or network resources. Prior to the release of the Windows 2000 operating system, services that accessed resources on a network were required to use a domain user account to authenticate themselves to each remote server they used, because the Local System account could not authenticate across the network. With the release of Windows 2000, the Local System account was modified to allow authentication to network resources, just like domain user accountsbut it uses computer credentials for authentication instead. Remember, a computer account is essentially just a user account that does not have the

 

[slave of the mind]

אממ אולי קצת טיפשי

אבל שני דברים יחסית בסיסיים שרצוי לבדוק לדעתי בבעיה כזו: 1. שיש לחשבון של המחשב הרשאות להתעסק עם הקבצים. בדיוק כמו שתוסיף הרשאה למשתמש. 2. יש הגדרה בGP שאומרת "allow logon from network" (סלחו לי אם יש שגיאות), גם שם צריך להיות מותר למחשב לגשת בכלל לשרת בתור עצמאי לקבצים. אמרת שבאדמיניסטרטור זה עובד... מה עם יוזר רגיל עם הרשאות על הקבצי רשת? איתו זה עבד? - אם כן אולי עדיף לנסות להגביל אותו למקסימום ובעצם להגיע למצב שמשתמשים בו אבל בצורה מאובטחת.

 

[gingis]

שום דבר לא טיפשי אני אבדוק לגבי שאל

תך המתכנת מתעקש על החשבון הזה ומה גם שזה עובד אצלו ברשת על תחנות XP מול שרת 2000 לא ברור למה אצלי זה לא עובד מה גם שהוא כתב את השירות עם מפתח הצפנה

 

[gingis]

תודה רבה לך

 

[operandx]

אגב, המתכנת שלכם ראה את המאמר?

נראה שאתה צודק לגמרי... נראה לי שהוא צריך לחשוב יותר על שימוש ב network service ולא ב local service.

 

[antidot]

דקויות

יש LOCAL SYSTEM שעליו הוא מדבר שלו יש הרשאות מלאות על המחשב הלוקלי. החל מ2003 הוצגו 2 חשבונות (יותר נכון להגיד: well known security principal) שמטרתם לצמצם את מערך ההרשאות שנותנים לשירותים: local service - הרשאות מלאות במחשב לוקלי בלבד (החשבון לא יכול לגשת לשירותי רשת) network service - חשבון שאין לו כמעט הרשאות לוקליות, אך יכול לגשת למשאבי רשת. LOCAL SYSTEM ברגע שהוא מנסה לבצע פעולה שקשורה לגישה למשאבים מחוץ למחשב לוקלי, מבחינת שאר הסביבה הופך לAD Account לכל דבר ומיוצג ע"י חשבון בשם המחשב עם סימן של דולר בסוף השם.

 

[gingis]

כן אני יודע ואתה לגמרי צודק אבל

האם הוא יכול לעבוד ברשת כי הרי הוא ללא סיסמא והוא נחשב לNULL חשבון. אני לא מתווכח לא עם המאמר לא עם המתכנת ולא עם אף אחד אני בסך הכל מנסה למצוא את הפתרון לבעיה זו.

 

[gingis]

כן הוא ראה את המאמר אבל אני מצאתי

מאמר שאומר כי הוא צודק במאמר כתוב שלוקל סיסטם חשבון יכול לעבוד ברשת על 2000

 

[antidot]

אפשר

אתה צריך לוודא שהACL גם ברמת הshare וגם ברמת הNTFS בממקום ממנו אתה מעתיק ובמקום אליו אתה מעתיק, מאפשר ל חשבון מחשב (!) גישה ברמת כתיבה. שים לב שחשבון LOCAL SYSTEM של מחשב מסויים, כאשר יוצאים מהמסגרת של אותו מחשב, הוא חשבון לכל דבר שניתן לתת לו הרשאות ובמחשבים אחרים אתה מוסיף אותו לACL ע"י הוספת חשבון מחשב. בכל מקרה, צריך להסביר למפתח שזאת דרך לא מקובלת בעליל להריץ שירות תחת LOCAL SYSTEM שתכלס לא צריך שום דבר מעבר להרשאות גישה לשיתופים. תיצור חשבון חדש בAD, תן לו הרשאות גישה לשיתופים ותן לו user right של logon as service במחשב עליו רץ השירות. לא צריך שום דבר מעבר לכך.

 

[gingis]

תודה רבה על ההרשאה במקום איליו אני

מעתיק לא חשבתי אני אנסה אבל הודעת השגיאה שאני מקבל ב DEBAGVIEW היא לא יכול למצוא את הקובץ. למרות שהיום ניסיתי לבצע העתקה דרך CMD copy \\192.168.30.199\temp\ffff.bmp וזה עבד מצויין גם כאדמין של המחשב הלוקלי. לגבי ההצעה שלך עם החשבון החדש אתה האדם החמישי או השישי כולל אני שאמר את זה אבל הוא מתעקש שהוא כתב את השירות עם מפתח הצפנה והוא מאוד רוצה שזה יהיה תחת לוקל סיסטם. למעשה אני לוקח את זה כאתגר אני מנסה למצוא לבעיה תשובה בגלל שכמו שאמרת זו אכן דרך לא מקובלת אבל נראה לי מאוד חכמה. אם תרצה להמשיך ולתת עצות הן תתקבלנה בברכה. יש עוד דבר שקשור לזה הוא טוען ש LOCAL SYSTEM ACCOUNT צריך להיות מסוגל להריץ Scheduled Tasks וזה לא קורה. אני לא מסכים איתו כי אני יודע שלפחות ב2000 חייבים גם יוזר וגם סיסמא על מנת להריץ Scheduled Tasks מה אתה אומר?

 

[gingis]

דרך אגב תודה רבה לכל החברה מכל >>

הפורומים שמנסים לעזור בסוגיה זו