Где можно поподробней разузнать про то, как работает Удаленное Администрирование рабочего стола? Насколько я знаю, если я вхожу на более привилегированной учетной записи, и если меня предупреждают, что там уже сидят на другой учетке, а я все равно захожу, то со стороны это смотрится как выход из сеанса и включение блокировки компа моей учеткой Не совсем понятно, что будет если я зайду под такой же учеткой которая уже включена на том компе: я на экране вижу открытые папки и окна, но мне непонятно вылетает ли тот кто там уже сидит или нет? Быть может пока он не совершит каких-то активных действий, я смотрю им сделанное, но потом вылетаю, или он просто заново логинится? И насколько реально вычислить откуда был произведен заход на комп (как после такого вторжения можно узнать айпишник)? На многих часто мной посещаемых серваках стоит Windows server 2000 (он вообще не в тему популярен во времена 2003-его), там при входе через mstsc не открывается ни одно приложение с ярлыков на Панель управления\Администрирование, поскольку во всех ярлыках указан путь к этой же папке (где они и лежат), без указания какого-либо exe файла на компе Также не открывается диспетчер задач и редактор реестра, как и через WIN+R, так и напрямую с папки WINDOWS\System32 Где может находится своего рода таблица внешних и внутрисетевых IP-адрессов? И как часто перезагружаются компы серваков (у меня создалось впечатление, что они практически не выключаются) Жду ваших ответов
в реальном времени - tcpview посмотреть(можно и автоматизировано через консоль) +в журнале админа сохраняется отчёт о подключении/отключении на уровне служб, я точно не помню, но вполне вероятно, что ИП там и не светится. все вынь-дедики на моей памяти перезагружались только по моей "вине" ¦)) хотя некоторые(редкие) одмины перезагружают раз в месяц в связи с обновлениями винды. mstsc после ребута, кстате, обычно ещо до часа может не работать.
А что насчет и Как это можно объяснить, кстати очень фигово, когда удаленный комп зависает, диспетчер не вызовешь, то считай выходи и заходи снова
Под XP - да, на сервере - нет. Ты имеешь ввиду под той же самой учеткой? Просто залочится, а по сети войдешь в тотже сеанс. Если под другой, но с теми же правами, то у пользователя выскочит предупреждение, мол вас хотят отключить - OK? CANCEL? В лог сервера попадает следующее сообщение: Successful Logon: User Name: nesterov Domain: XXXX.RU Logon ID: (0x0,0x1DCB5D) Logon Type: 10 Logon Process: User32 Authentication Package: Negotiate ... Caller Logon ID: (0x0,0x3E7) Caller Process ID: 3756 Source Network Address: 192.168.96.254 Source Port: 26365 На ХР видимо тоже самое, не проверял. Не вкурил вопроса и описания проблемы. Это привет админам, настроившим локальную (и/или доменную) политику (см. Win + R -> gpedit.msc -> Enter Это ты о чем? Зависит от сервера, админа и фазы луны. Некоторые серверы не перезагружаются вообще, некоторые - после апдейтов, некоторые - после глобалльной какой-нить перенастройки. Говорю же, нуна по фазе луны смотреть. Если удаленный комп завис, то ты хоть обперезаходись, но больше не подключишься (часто помогает shutdown -m). Если ты про отвалившийся сеанс рдп, то да, тут нужно тупо перезайти или дождаться пока рдп-клиент сам прочухается.
Короче, раньше там был при входе открыт domain controller и много-чего такого для настроек прокси в локалке, однажды он завис, пришлось закрыть, но поскольку сервер не перезагружается, а открыть ничего не получается из вкладки администрирование на панели задач, поскольку ярлыки ведут в не к исполняемому файлу, а к папке в которой они сами лежат. В итоге теперь настраивать прокси учетным записям в разных доменах у меня не получается, да и дело это не столь выгодное, поскольку особые права по прокси для учетной записи будут иметь силу только на закрепленных за ними компах, а в компьютерных классах под какой учеткой не заходи - все заблочено одинаково, поэтому мне не помешало бы найти, где можно добавить отдельные компы в зону действия привилегированных учетных записей И еще, где лежат логи сервера, чтобы их подредактировать
Как один из вариантов (если есть админские права на контроллере): - Скачать gpmc с сайта Microsoft - Для различных пользователей сделать группы - Для нужно группы создать объект групповой политики, настроить там нужный сервер прокси и назначить каждой группе свой объект групповой политики. В итоге, любой пользователь, входящий в одну из групп, при заходе на любом компьютере домена будет получать нужные настройки прокси. Чтобы не наломать дров и окончательно не засрать сервер (а кому-то придётся это разгребать , стоит почитать различные хаутушки и прочие сэмплы с сайта Microsoft. Подредактировать не получится, только почистить. Если подредактировать как-то и можно, то без стороннего софта не обойтись, какого именно - хз, не интересовался.
админские права есть, только вот какие-то урезанные судя по всему из-за gpedit.msc ладно в понедельник посмотрю че да как, пока спасибо за ответы
короче, на этой учетке поменяли пароль, теперь я не скоро добуду его, придется ставить полноценный кейлоггер на местных админских компах
Вопрос такой: когда вводишь в команде выполнить \\имя компа\c$\ ипосле вводишь нужный логин и пароль, то это равносильно использованию mstsc и IP-адрес остается в логах сервера или это работает как-то по-другому? Можно ли таким же способом редактировать значения реестра или без mstsc не обойтись? Просто хотелось бы самому написать простую программу для быстрого мониторинга парольных ловушек? Я в этом не очень разбираюсь, поэтому заранее извиняюсь за ламерские вопросы
Это разные вещи. Для редактирования удаленного реестра досточно запустить regedit и подключиться по сети к удаленному реестру. Если машина, с которой заходишь, не доменная, то он сам запросит пароль. Если же доменная, то нужно сделать net use * /d /y net use x: \\server_name\c$ /u:admin, а потом снова через regedit. (Правда для этого должна на сервере быть включена служба удаленного реестра, и должен быть доступ по сети через RPC)
