Cambio el SID de la cuenta Built-in\Administrator

17/10/2008 - 14:59 por Andres Eliseo Soncini | Informe spam
Amigos,

Recientemente he tomado control de una red que estaba en un estado
desastroso... Imaginense que hasta los discos locales de datos de usuarios
en un DC, tenian establecido Everyone - Allow - Full control, tanto en NTFS
como en cada Share.

El dia de ayer, por la manana, me avisan que muchos usuarios reciben error
de acceso denegado en todas las carpetas. Al observar el problema (logueado
con la cuenta adminstrator en el DC), me encuentro con que ni yo puedo abrir
estas carpetas, error de acceso denegado. Al acceder a las propiedades me
informa que no se puede mostrar el propietario de la carpeta. Asi que,
utilizo mi poder Take Ownership y reemplazo los permisos en la ACL. Al mirar
los permisos solo el administrator, system y una cuenta de usuario del
dominio tiene permiso, siendo los permisos de la cuenta de usuario solo de
lectura. Pero esta cuenta de usuario no estaba en las ACL de las carpetas
superiores, asi que, no podria haber sido heredada. Tambien noto que se ve
un SID. Al observarlo bien, veo que ese SID termina en 500.

Resolvi el SID de la actual cuenta de administrator y tambien termina en
500, pero es otro SID. Tuve que reemplazar todos los propietarios de las
carpetas y reemplazar los permisos.

Me llama la atencion la cuenta de usuario que quedo luego de poder
reestablecer los permisos. No tengo actual politica de auditing, debido a
que la carpeta SYSVOL esta vacia!!. Lamento no poder reinstalar el AD sobre
un windows server 2003 (actual esta sobre windows 2000) y comenzar de nuevo.

Podria llegar a ser el SID de la cuenta de administrador local que alguna
vez hubo en ese DC, antes que fuera promovido??? Es posible que se haya
cambiado el SID de la cuenta del administrator del dominio por algun
motivo??? Pudo haber sido el usuario que quedo en la ACL de los recursos???
Solamente tengo un DC y el AD esta instalado sobre una unidad diferente del
SO. Alguna idea de por que tengo la carpeta SYSVOL vacia??? Hoy recreare las
politicas con una KB que encontre y comenzare a auditar la cuenta que
encontre en las ACL, pero quisiera saber si realmente es posible cambiar el
SID del administrator del dominio.

Muchas Gracias.
Andres.

Preguntas similare

Leer las respuestas

#1 José Antonio Quílez [MS MVP]
17/10/2008 - 15:56 | Informe spam
Eso suele pasar si montas el disco de ese servidor en otro equipo, por
ejemplo para recuperar datos tras una caída del servidor, y en aquel haces
modificaciones de las ACLs. También si en el servidor se han modificado las
ACLs y se instala un nuevo sistema operativo y AD, aunque sea con el mismo
nombre de dominio.

Lo mejor que puedes hacer es tomar posesión de todo y poner permisos al
grupo Todos de control total en todo el disco del DC. Después, y poco a
poco, modificas la seguridad restringiendo donde realmente lo necesites.

Saludos

José Antonio Quílez [MS MVP]
http://msmvps.com/blogs/quilez/

"Andres Eliseo Soncini" escribió en el
mensaje de noticias:

Amigos,

Recientemente he tomado control de una red que estaba en un estado
desastroso... Imaginense que hasta los discos locales de datos de usuarios
en un DC, tenian establecido Everyone - Allow - Full control, tanto en
NTFS como en cada Share.

El dia de ayer, por la manana, me avisan que muchos usuarios reciben error
de acceso denegado en todas las carpetas. Al observar el problema
(logueado con la cuenta adminstrator en el DC), me encuentro con que ni yo
puedo abrir estas carpetas, error de acceso denegado. Al acceder a las
propiedades me informa que no se puede mostrar el propietario de la
carpeta. Asi que, utilizo mi poder Take Ownership y reemplazo los permisos
en la ACL. Al mirar los permisos solo el administrator, system y una
cuenta de usuario del dominio tiene permiso, siendo los permisos de la
cuenta de usuario solo de lectura. Pero esta cuenta de usuario no estaba
en las ACL de las carpetas superiores, asi que, no podria haber sido
heredada. Tambien noto que se ve un SID. Al observarlo bien, veo que ese
SID termina en 500.

Resolvi el SID de la actual cuenta de administrator y tambien termina en
500, pero es otro SID. Tuve que reemplazar todos los propietarios de las
carpetas y reemplazar los permisos.

Me llama la atencion la cuenta de usuario que quedo luego de poder
reestablecer los permisos. No tengo actual politica de auditing, debido a
que la carpeta SYSVOL esta vacia!!. Lamento no poder reinstalar el AD
sobre un windows server 2003 (actual esta sobre windows 2000) y comenzar
de nuevo.

Podria llegar a ser el SID de la cuenta de administrador local que alguna
vez hubo en ese DC, antes que fuera promovido??? Es posible que se haya
cambiado el SID de la cuenta del administrator del dominio por algun
motivo??? Pudo haber sido el usuario que quedo en la ACL de los
recursos??? Solamente tengo un DC y el AD esta instalado sobre una unidad
diferente del SO. Alguna idea de por que tengo la carpeta SYSVOL vacia???
Hoy recreare las politicas con una KB que encontre y comenzare a auditar
la cuenta que encontre en las ACL, pero quisiera saber si realmente es
posible cambiar el SID del administrator del dominio.

Muchas Gracias.
Andres.

Respuesta Responder a este mensaje
#2 Andres Eliseo Soncini
17/10/2008 - 17:23 | Informe spam
Jose,

Gracias por tu respuesta antes que nada. Pero lamento decir que no es
ninguno de los casos. Estoy de acuerdo con vos en que, debo establecer
permisos liberales y luego ir restringiendo segun la necesidad. Pero
realmente me gustaria saber si es que hay alguna posibilidad de que cambien
el SID de esa cuenta... quizas con alguna mala intencion.

Saludos!

"José Antonio Quílez [MS MVP]" escribió en el
mensaje news:%
Eso suele pasar si montas el disco de ese servidor en otro equipo, por
ejemplo para recuperar datos tras una caída del servidor, y en aquel haces
modificaciones de las ACLs. También si en el servidor se han modificado
las ACLs y se instala un nuevo sistema operativo y AD, aunque sea con el
mismo nombre de dominio.

Lo mejor que puedes hacer es tomar posesión de todo y poner permisos al
grupo Todos de control total en todo el disco del DC. Después, y poco a
poco, modificas la seguridad restringiendo donde realmente lo necesites.

Saludos

José Antonio Quílez [MS MVP]
http://msmvps.com/blogs/quilez/

"Andres Eliseo Soncini" escribió en el
mensaje de noticias:

Amigos,

Recientemente he tomado control de una red que estaba en un estado
desastroso... Imaginense que hasta los discos locales de datos de
usuarios en un DC, tenian establecido Everyone - Allow - Full control,
tanto en NTFS como en cada Share.

El dia de ayer, por la manana, me avisan que muchos usuarios reciben
error de acceso denegado en todas las carpetas. Al observar el problema
(logueado con la cuenta adminstrator en el DC), me encuentro con que ni
yo puedo abrir estas carpetas, error de acceso denegado. Al acceder a las
propiedades me informa que no se puede mostrar el propietario de la
carpeta. Asi que, utilizo mi poder Take Ownership y reemplazo los
permisos en la ACL. Al mirar los permisos solo el administrator, system y
una cuenta de usuario del dominio tiene permiso, siendo los permisos de
la cuenta de usuario solo de lectura. Pero esta cuenta de usuario no
estaba en las ACL de las carpetas superiores, asi que, no podria haber
sido heredada. Tambien noto que se ve un SID. Al observarlo bien, veo que
ese SID termina en 500.

Resolvi el SID de la actual cuenta de administrator y tambien termina en
500, pero es otro SID. Tuve que reemplazar todos los propietarios de las
carpetas y reemplazar los permisos.

Me llama la atencion la cuenta de usuario que quedo luego de poder
reestablecer los permisos. No tengo actual politica de auditing, debido a
que la carpeta SYSVOL esta vacia!!. Lamento no poder reinstalar el AD
sobre un windows server 2003 (actual esta sobre windows 2000) y comenzar
de nuevo.

Podria llegar a ser el SID de la cuenta de administrador local que alguna
vez hubo en ese DC, antes que fuera promovido??? Es posible que se haya
cambiado el SID de la cuenta del administrator del dominio por algun
motivo??? Pudo haber sido el usuario que quedo en la ACL de los
recursos??? Solamente tengo un DC y el AD esta instalado sobre una unidad
diferente del SO. Alguna idea de por que tengo la carpeta SYSVOL vacia???
Hoy recreare las politicas con una KB que encontre y comenzare a auditar
la cuenta que encontre en las ACL, pero quisiera saber si realmente es
posible cambiar el SID del administrator del dominio.

Muchas Gracias.
Andres.

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida