Least privilege

Tavaly óta dolgozom (nem egyforma intenzitással) a „Zero Domain Admin” megoldáson, s fura mód a terminál szerverek automatikus telepítése is lökött valamit a témán. A Microsoft beállításai szerint a Terminal Server szolgáltatás telepítése után az RDP-TCP tulajdonságaiban a biztonság fülön a helyi adminisztrátoroknak, és így a Domain Admin-oknak van joga más felhasználók munkameneteinek távvezérlésére. A Zero Domain Admin egyik célja éppen az, hogy delegáljuk a megfelelő jogokat a megfelelő csoportnak, ezért aztán nálunk van egy HelpDesk Operator csoport, amelynek szintén adott ez a jog, meg néhány más is. Eleinte azt gondoltam, hogy csoportházirenddel szabályozom majd, hogy ki távvezérelhet egy terminál szerveren, de tapasztalnom kellett, hogy ez nem lehetséges, mivel az érték bináris formában tárolt a registry-ben. Kénytelen voltam kézzel bekonfigurálni az adott jogokat, majd keresni kezdtem, hogyan lehetne a dolgot automatizálni, hogy a következő telepítéskor erre a kézi műveletre már ne legyen szükség. Szerencsémre ugyanott, ahol a TS FlexProfile megoldásra ráleltem, találtam egy kis parancssoros alkalmazást, amely épp a fenti jogosultságokat képes manipulálni. A szintaxisa roppan egyszerű:

 

TSConSec.exe : Set Terminalserver Connection Permissions
v1.02 2004 Author Bas Blaauw
 

 

TSConSec.exe /i | [/t:R[DP]|I[CA] /r [[/d:domain] /a:account /p[:permissions]] ] /q

        Where   /i = Init (re-read) registry only

                /t = ConnectionType RDP or ICA (default RDP-TCP)

                /r = Reset ALL Configured Permissions to DEFAULT

                /d = Domain where the account resides

                        (defaults to LOCAL account when not provided)

                /a = User- or group accountname

                /p = Permissions AND/OR

                /x = DENY Permissions

                Where   F = Full Control

                        U = User Access

                        G = Guest Access

                        Q = Query Information

                        I = Set Information

                        R = Reset

                        S = Shadow (Remote Control)

                        L = LogON

                        O = LogOFF

                        M = Message

                        C = Connect

                        D = Disconnect

                        V = Virtual Channels

 

                        empty = DELETE permissions for account

 

                /q  = Quiet (no confirmation)

 

Csak annyi dolgom volt, hogy a terminál szerverek automatikus telepítésénél a GUIRunOnce.bat állományba beszúrtam ezt a sort.

 

C:TempTsConSec /t:R /d:MAL /a:"ROLE – HelpDesk Operators" /p:USRD /q

 

Még egy sirámmal kevesebb. És mindenki jól járt. Nekem nem kell kézzel dolgozom, az Operátoroknak meg ott a szükséges jog, de csak annyi.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: