Új hozzászólás Aktív témák
-
kraftxld
Topikgazda
válasz gaborbol #19083 üzenetére
Nagy pénz van az IT security-ben, főleg ilyen ügyfeleknél Évente / kétévente el lehet adni egy vaskos auditot, a vezérkar fizet, majd hümmög és nem történik semmi.
A héten nekem is volt egy "érdekes" melóm.
Ügyfél IT vezetője tajtékozva: Mindenki tud küldeni levelet mindenki nevében, azonnal kivizsgálni!
Az egyik kollega elszöszmötölt vele 1 napot, de nem talált semmit. De tényleg lehetett más nevében küldeni, legalábbis az IT főnökkel tuti meg a kollega fiókjával is, tehát mindenkinek tuti lehet
Elkezdtem nézelődni, engedélyeztem egy régen kilépett emberke fiókját, próba, nem tud más nevében küldeni.
Kis kutakodás után:
- Az IT főnök rendes NEM admin fiókja a domain admin csoport tagja
- A kollega rendes NEM admin fiókja a domain admin csoport tagja
- A domain admin csoport gyárilag tagja a built-in administrators csoportnak
- a DOMAIN\administrators csoport gyárilag kap send-as jogot a teljes tartományon
- Bármilyen más NEM domain admin emberke NEM tud más nevében mailt küldeni.
- Egy teszt admint kivettem a domain admin csoportból, egy kis idő, meg Outlook restart után már ő se tudott levelet küldeni.
- TouchéSzépen levezettem nekik, és finoman megemlítettem, hogy szerintem itt nem a send-as jogosultság megléte a legnagyobb gond, hanem hogy a fél cég domain admin. Nem jött válasz, de egy raklap emberke és ezer éves service account bent figyelt a domain admin csoportban.
[ Szerkesztve ]
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'