Witaj Grzegorz Niemirowski, 15 sty 2018 w
news:p3j7vk$cmj$1@node2.news.atman.pl napisałeś/aś:
> pueblo <nomail@nomail.pl> napisał(a):
>> Ja też nie ogarniam, ale w windowsie, jeśli jesteś na koncie
>> administratora nie znaczy, że możesz wszystko.
>
> I to podwójnie. Jeśli konto należy do grupy Administratorzy, to po
> zalogowaniu się dostaje się dwa tokeny uprawnień. Jeden z
> uprawnieniami tego konta, czyli też grupy Administratorzy, drugi z
> obniżonymi. I ten właśnie obniżony jest normalnie używany.
Jednakże, jak rozumiem, nie jest zalecane, z pkt. widzenia
bezepieczeństwa, żeby zwykły user używał na co dzień (co od zawsze
robię) takiego konta - z grupy Administrator?
> Dopiero
> okienko UAC albo funkcja Uruchom jako administrator przełącza token
> na pełne uprawnienia.
Czy dokładnie takie, jak ma wbudowane konto Administrator - jak po
zalogowaniu na to konto?
> Swoją drogą nazwa Uruchom jako jest tutaj
> myląca, bo ciągle jesteśmy na tym samym użytkowniku. A druga sprawa,
> to że nawet z tym podwyższonym tokenem nie ma się pełnych uprawnień,
> podobnie na koncie Administrator. Dopiero konto SYSTEM ma pełne
> uprawnienia.
No to mamy 3 stopnie: mogę prawie wszystko, mogę wszystko, mogę
naprawdę wszystko.
> Tak z resztą
> działa przejmowanie własności: korzystamy z prawa do nadania sobie
> prawa :)
>
Właśnie to było dla mnie zawsze zagmatwane.
>> Pewnie masz home, więc nie dasz rady w ten sposób, ale tutaj
>> pokazane, jak włączyć pełne prawa administratora(cokolwiek to
>> znaczy) - powiedzmy:
>> https://winclub.pl/topic/6986-pełne-prawa-admina-windows-10/
>
> Dla różnych osób może znaczyć różne rzeczy. Pod tym linkiem są dwie.
> Jedna to zalogowanie się na wbudowane konto Administrator. Aktywują
> je komendą net use.
Tego próbowałem, tylko najpierw użyłem net user administrator
/active:yes i potem się na nie zalogowałem przez GUI. Net use
/user:administrator? Nie chcę teraz eksperymentować - czy to polecenie
zaloguje mnie na wbudowane konto Admina, nawet kiedy nie jest
aktywne/widoczne?
> Druga opcja to wyłączenie UAC, która w sumie nie
> nadaje żadnych uprawnień, ale wyłącza konieczność potwierdzania
> operacji podnoszenia uprawnień.
>
Rozumiem, że mówisz o obrazku z zasadami zabez. lok.?
>> oprócz tego nie tylko ty miałeś problem z rebootem:
>> https://tinyurl.com/ycek6469
>
> O, dobry link. Dzięki. Też googlałem, ale znalazłem inne wątki. A
> tutaj jest m.in. rozwiązanie, o czym niżej.
>
Taka dygresja. Można powiedzieć, że są dwie metody goglowania: od ogółu
do szczegółu i od szczegółu do ogółu. Często, jak nie mam pojęcia o
jakimś temacie i nie mogę się zaczepić o jakieś podstawy teoretyczne,
to ta druga się sprawdza - trzeba po prostu dokładnie napisać, w którym
miejscu boli. Jest to popularna metoda, co widać dokładnie po
podpowiedziach, jakie daje google po wpisaniu: jak, czy, dlaczego :)
Ty masz w porównaniu ze mną ogromną wiedzę IT, więc pewnie nie
przyszłoby ci do głowy wyszukiwać w taki dość prymitywny sposób.
>
> Nie spotkałem się nigdy z koniecznością używania dodatkowych
> programów do przejmowania własności.
Gdzieś po prostu obiło mi się o oczy, że są takie ficzery(programy to
pewnie za duże słowo) i ludzie ich do czegoś używają z jakimś tam
pożytkiem.
>Natomiast chyba w gołym
> windowsie nie ma możliwości oddania własności i są do tego programy.
>
A co w tym kontekście znaczyłoby "goły windows".
>
> W Windows 10 folder Tasks jest pusty.
>
Przyznam, nie sprawdzałam, widziałem to pod jednym z linków. Pod w7 nie
jest pusty.
>> Nie wiem, czy hasło "pełne prawa administratora" jest w ogóle
>> akceptowalne dla speców IT :)
>
> Jest. Takie prawa masz na koncie LocalSystem, o którym właśnie tutaj
> dyskutujemy. Trzeba się tylko na nie zalogować. I to jest właśnie
> rozwiązanie problemu. A więc:
> 1. Ściągamy PsExec
Wiedziałem, że nie trzymam na dysku bez potrzeby sysinternals suite :)
> 7. Dostajemy konsolę zadań bez żadnych ograniczeń :)
>
Dobrze wiedzieć. Już wykonałem dodatkowy eksperyment i z tej konsoli
wpisałem explorer c:\System Volume Information
Niestety, chyba tak łatwo nie zostanę specem - nadal odmowa dostępu.
No i na koniec nie mógłbym się nie zastanowić głośno: ciekawe, czy
możliwe jest zalogowanie się/używanie/przypisanie sobie na stałe(jak by
tego nie nazwać) tych najwyższych uprawnień konta LocalSystem. Bo co to
ma niby być? - mogę naprawdę wszystko, ale mam tylko to małe czarne
okienko cmd :)
|