Warum sind Benutzer, die auf dem Domänencontroller erstellt wurden, immer Teil der Domäne?

10

Warum sind Benutzer, die auf dem Domänencontroller erstellt wurden, immer Teil der Domäne?

Wenn ich einen lokalen Benutzer auf dem Domänencontroller erstellen möchte, stelle net user <username> <password> /addich fest, dass der Benutzer automatisch in die Domain UsersGruppe aufgenommen wird.

Ich möchte ein lokales Administratorkonto auf dem Domänencontroller erstellen, das nicht Teil der Domäne ist und sich interaktiv beim Domänencontroller anmelden und Verwaltungsaufgaben ausführen kann.

Ist das möglich?

windows active-directory Shuzheng
quelle
2
Nein, das ist nicht möglich.
Joeqwerty

Antworten:

3

Lokale Konten werden in einer Datei namens SAM-Datenbank gespeichert . Dies ist auf einem Domänencontroller vorhanden. Wenn Sie einen Domänencontroller im Wiederherstellungsmodus starten , ist das Konto, mit dem Sie dies tun, nur das lokale Administratorkonto in der SAM-Datenbank. Wenn Windows jedoch normal ausgeführt wird, ist der Zugriff auf die SAM-Datenbank deaktiviert und keines der darin enthaltenen Konten kann verwendet werden. Das heißt, es ist unmöglich, sich mit einem lokalen Konto auf einem Domänencontroller anzumelden.

Dies kann jedoch geschehen, wenn Sie gerne über eine Befehlszeile arbeiten und keinen Netzwerkzugriff benötigen. Der Trick besteht darin, sich als lokales Systemkonto anzumelden. Windows bietet keine Möglichkeit, dies zu tun, aber ich habe dazu einen einfachen Telnet-Server geschrieben und ihn dann als Dienst unter Verwendung des lokalen Systemkontos ausgeführt. Wenn Sie eine Verbindung zum Telnet-Server herstellen, werden Sie als Systemkonto und nicht als Domänenkonto angemeldet. Die einzigen Einschränkungen bestehen darin, dass nur die Befehlszeile verwendet wird und das Systemkonto keinen Netzwerkzugriff hat. Wenn Sie einen solchen Hack verwenden, achten Sie sehr, sehr auf die Sicherheit!

Obwohl dies alles wie ein schrecklicher Hack klingt, hat es legitime Verwendungszwecke. Bei der Arbeit verwenden wir beispielsweise ein Verwaltungstool namens N-able, das den Remotezugriff auf eine Konsole auf Servern ermöglicht, und zwar im Grunde genommen mit der oben beschriebenen Technik. Wenn ich eine Konsole auf einem unserer Domänencontroller öffne und den Befehl whoami verwende, wird Folgendes angezeigt :

Geben Sie hier die Bildbeschreibung ein

Fußnote

Windows hat keine eingebaute Methode zum Öffnen einer Remote-Eingabeaufforderung, aber wie in einem Kommentar erwähnt, kann das Dienstprogramm SysInternals psexec dies tun, und die Dienstprogramme SysInternals werden von Microsoft bereitgestellt und unterstützt, sodass dies zumindest halbamtlich ist. Wenn ich psexec auf einem meiner Server verwende, bekomme ich:

D:\temp\psexec>psexec64 \\cheddar -s cmd.exe

PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com


Microsoft Windows [Version 10.0.17134.345]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
nt authority\system

C:\Windows\system32>exit
cmd.exe exited on cheddar with error code 0.
John Rennie
quelle
Haben Sie SysInternals psexec -s neu erfunden ?
user1686
1
@grawity Ich habe dies zum ersten Mal unter Windows NT 3.1 gemacht, bevor die Sysinternals-Dienstprogramme existierten :-) Sie machen jedoch einen guten Punkt. Ich hatte vergessen, dass psexec das kann.
John Rennie
1
Punkt genommen. Obwohl hoffentlich das ursprüngliche "weit geöffnete" Telnetd jetzt nicht verwendet wird?
user1686
23

Nein das ist nicht möglich. Domänencontroller verfügen nicht über eine eigene Authentifizierungsdatenbank. Es wird durch Active Directory ersetzt, wenn es zu einem Domänencontroller hochgestuft wird.

langer Hals
quelle
2
Dies antwortet "Ist das möglich?" aus dem Fragetext, antwortet aber nicht "warum" aus dem Titel. Irgendwelche Erkenntnisse zum "Warum"?
Mołot
8
Domain controllers don't have their own authentication database. It is replaced by Active Directory when promoted to a Domain Controllerist das warum. Das beantwortet also das Warum.
Joeqwerty
4
@peterh Nur Microsoft weiß vielleicht, warum sie es so entworfen haben, aber ich bezweifle, dass sie es wissen. Während meiner Übergabe mussten die meisten "Warum" -Fragen mit "Ich habe es getan, weil dies das erste war, was mir in den Sinn kam, und es funktionierte und danach nie ein laufendes System ändern."
Alexander
5
Ehrlich gesagt, wenn die Frage lautet: "Warum hat Microsoft das so gestaltet?" ist die Frage, ich würde VTC. Jede Antwort, die wir geben würden, wäre reine Spekulation (es sei denn, jemand hier hat an diesem Projekt bei MS um 1999 gearbeitet?).
Katherine Villyard
2
Ich war damals ein MS MVP für Windows-Server und habe einige Dinge mit dem Beta-Team "NT 5" gemacht und bin zu einigen Meetings gegangen, in denen Designentscheidungen besprochen wurden. Das Argument war dann, dass es auf einem Domänencontroller keine "lokale" Administratoraktion gab, da irgendetwas das Potenzial hatte, die Domäne zu beeinflussen. Möchten Sie den DC neu starten? Möchten Sie eine Rolle hinzufügen oder entfernen? Möchten Sie die DNS-Einstellungen auf der Netzwerkkarte ändern? Alle können möglicherweise die Fähigkeit dieses Domänencontrollers beeinträchtigen, seine Domäne zu bedienen, und daher nicht wirklich "lokale Administrator" -Aktionen auf einem Domänencontroller.
Rob Moir