Hidden admin/User

[Михаил Гусев]

А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо

[Андрей Тр. aka RH]

"Телепаты в отпуске" (с) .. в каком смысле скрытого, от кого ..

[Андрей Фисенко]

А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо

Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

[Аркадий Глазырин]

Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.

[Андрей Тр. aka RH]

А что там такого хитрого .. назначаешь этому "скрытому" пользователю требуемые права на его контейнер, потом ставишь соответствующий фильтр на данный контейнер ( не наоборот ), ну и еще при желании до этого ( чтоб от этого пользователя была какая-то польза .. каламбур-с ) назначаешь security equivalence с определёнными объектами. ИМХО если человек способен осознанно выполнить подобные манипуляции, то "определенный уровень знаний" у него уже есть.

Вообще, похожие темы здесь уже проскакивали. Сошлись на том, что dsbrowse, например, еще никто не отменял. А товарищу, может, достаточно прикрыть browse на требуемого пользователя .. ну и там от админа спрятать что есть нехорошо.

[Андрей Фисенко]

Могу научить как это делать. Мне будет просто приятно обучить тебя.

Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

[Vadziku]

Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

[Аркадий Глазырин]

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Что я и сделал. Моей квалификации не хватает, чтоб "откопать".

[Аркадий Глазырин]

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

[Андрей Фисенко]

А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?

[Аркадий Глазырин]

А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?

Хм. Получается, что решение есть. Просто оно состоит из ряда промежуточных решений...

Постараюсь интереса ради найти свой же закопанный логин. Типа тренировка будет.

[Михаил Гусев]

Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

Это из природы каталога, в общем-то, ясно.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

Именно это и требуется. Просто
а- сейчас по ряду причин с Новеллом не работаю
б- мне ЛИЧНО такое не нужно, попросили с бывшей работы, а зачем изобретать велосипед

[Михаил Гусев]

Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.

Я жду

[Аркадий Глазырин]

Я жду

Начнём.
O=EMA.
Внутри неё содаём OU=HIDDEN
Внутри OU=HIDDEN.O=EMA создаём CN=STEPAN
Даём ему права S на OU=HIDDEN.O=EMA
Заходим под логином STEPAN.HIDDEN.EMA

Зашли.

Запустили NWadmin.

Нашли в дереве HIDDEN.EMA
Правая кнопка мыши. "Трастис оф Тис обджектс".
Видим слева "Инхеретейбэел Райтс Фильтэр".
Заходим туда. Перед тобой слева "Обджектс ррайтс".
Убираём всё.
Далее справа "Проперти райтс".
Можно взять и убрать сразу всё. ("Алл пропертис" убрать все флажки.)
Тут правда подлезть легко можно. Чтоб сделать ооочень сложным легальный обход надо выбрать "Селект Пропертис" и для каждой позиции снять флажки.

Всё.

Заходи под прежним админом и попробуй найти STEPAN.HIDDEN.EMA
Да, не давай STEPAN.HIDDEN.EMA права на файловую систему!
Это легко ловится.
Дай только S на ROOT. Внутри HIDDEN.EMA сделай элиасы на тома. Так удобнее будет.
Будет надо - зайдет этот STEPAN.HIDDEN.EMA, сам назначит себе права S на файловую систему, сделает своё "чёрное дело" и снова уберёт их. Негр в ночи.

[Константин Ошмян]

Дай только S на ROOT

Тем не менее, легальный админ при внимательном просмотре увидит, что на [Root] имеет права какой-то "левый" пользователь (при просмотре списка Trustees объекта [Root]). И сможет их (эти права) обрубить, сводя смысл всей затеи практически к нулю - как я понимаю, именно это (в том числе) имел в виду Андрей Фисенко.