Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Cambio el SID de la cuenta Built-in\Administrator

17/10/2008 - 14:59 por Andres Eliseo Soncini | Informe spam
Ayuda Hacer una pregunta
Amigos,

Recientemente he tomado control de una red que estaba en un estado
desastroso... Imaginense que hasta los discos locales de datos de usuarios
en un DC, tenian establecido Everyone - Allow - Full control, tanto en NTFS
como en cada Share.

El dia de ayer, por la manana, me avisan que muchos usuarios reciben error
de acceso denegado en todas las carpetas. Al observar el problema (logueado
con la cuenta adminstrator en el DC), me encuentro con que ni yo puedo abrir
estas carpetas, error de acceso denegado. Al acceder a las propiedades me
informa que no se puede mostrar el propietario de la carpeta. Asi que,
utilizo mi poder Take Ownership y reemplazo los permisos en la ACL. Al mirar
los permisos solo el administrator, system y una cuenta de usuario del
dominio tiene permiso, siendo los permisos de la cuenta de usuario solo de
lectura. Pero esta cuenta de usuario no estaba en las ACL de las carpetas
superiores, asi que, no podria haber sido heredada. Tambien noto que se ve
un SID. Al observarlo bien, veo que ese SID termina en 500.

Resolvi el SID de la actual cuenta de administrator y tambien termina en
500, pero es otro SID. Tuve que reemplazar todos los propietarios de las
carpetas y reemplazar los permisos.

Me llama la atencion la cuenta de usuario que quedo luego de poder
reestablecer los permisos. No tengo actual politica de auditing, debido a
que la carpeta SYSVOL esta vacia!!. Lamento no poder reinstalar el AD sobre
un windows server 2003 (actual esta sobre windows 2000) y comenzar de nuevo.

Podria llegar a ser el SID de la cuenta de administrador local que alguna
vez hubo en ese DC, antes que fuera promovido??? Es posible que se haya
cambiado el SID de la cuenta del administrator del dominio por algun
motivo??? Pudo haber sido el usuario que quedo en la ACL de los recursos???
Solamente tengo un DC y el AD esta instalado sobre una unidad diferente del
SO. Alguna idea de por que tengo la carpeta SYSVOL vacia??? Hoy recreare las
politicas con una KB que encontre y comenzare a auditar la cuenta que
encontre en las ACL, pero quisiera saber si realmente es posible cambiar el
SID del administrator del dominio.

Muchas Gracias.
Andres.
email Siga el debateRespuesta 2 respuestasRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 José Antonio Quílez [MS MVP]
17/10/2008 - 15:56 | Informe spam
Eso suele pasar si montas el disco de ese servidor en otro equipo, por
ejemplo para recuperar datos tras una caída del servidor, y en aquel haces
modificaciones de las ACLs. También si en el servidor se han modificado las
ACLs y se instala un nuevo sistema operativo y AD, aunque sea con el mismo
nombre de dominio.

Lo mejor que puedes hacer es tomar posesión de todo y poner permisos al
grupo Todos de control total en todo el disco del DC. Después, y poco a
poco, modificas la seguridad restringiendo donde realmente lo necesites.

Saludos

José Antonio Quílez [MS MVP]
http://msmvps.com/blogs/quilez/

"Andres Eliseo Soncini" escribió en el
mensaje de noticias:

Amigos,

Recientemente he tomado control de una red que estaba en un estado
desastroso... Imaginense que hasta los discos locales de datos de usuarios
en un DC, tenian establecido Everyone - Allow - Full control, tanto en
NTFS como en cada Share.

El dia de ayer, por la manana, me avisan que muchos usuarios reciben error
de acceso denegado en todas las carpetas. Al observar el problema
(logueado con la cuenta adminstrator en el DC), me encuentro con que ni yo
puedo abrir estas carpetas, error de acceso denegado. Al acceder a las
propiedades me informa que no se puede mostrar el propietario de la
carpeta. Asi que, utilizo mi poder Take Ownership y reemplazo los permisos
en la ACL. Al mirar los permisos solo el administrator, system y una
cuenta de usuario del dominio tiene permiso, siendo los permisos de la
cuenta de usuario solo de lectura. Pero esta cuenta de usuario no estaba
en las ACL de las carpetas superiores, asi que, no podria haber sido
heredada. Tambien noto que se ve un SID. Al observarlo bien, veo que ese
SID termina en 500.

Resolvi el SID de la actual cuenta de administrator y tambien termina en
500, pero es otro SID. Tuve que reemplazar todos los propietarios de las
carpetas y reemplazar los permisos.

Me llama la atencion la cuenta de usuario que quedo luego de poder
reestablecer los permisos. No tengo actual politica de auditing, debido a
que la carpeta SYSVOL esta vacia!!. Lamento no poder reinstalar el AD
sobre un windows server 2003 (actual esta sobre windows 2000) y comenzar
de nuevo.

Podria llegar a ser el SID de la cuenta de administrador local que alguna
vez hubo en ese DC, antes que fuera promovido??? Es posible que se haya
cambiado el SID de la cuenta del administrator del dominio por algun
motivo??? Pudo haber sido el usuario que quedo en la ACL de los
recursos??? Solamente tengo un DC y el AD esta instalado sobre una unidad
diferente del SO. Alguna idea de por que tengo la carpeta SYSVOL vacia???
Hoy recreare las politicas con una KB que encontre y comenzare a auditar
la cuenta que encontre en las ACL, pero quisiera saber si realmente es
posible cambiar el SID del administrator del dominio.

Muchas Gracias.
Andres.

Preguntas similares

 

Busqueda sugerida :