Open suzupy opened 6 years ago
ここでのユーザはlocal userとし、ADは考慮しない
net user
でユーザ一覧、net user USER
で特定ユーザの詳細が閲覧できる
管理者権限が必要. command prompt起動時に右クリックでrun as Administratorを選択する
net user USER PASSWORD /add
net localgroup administrators USER /add
実行後net user
で確認すると管理者権限が付いていないように見える
GUIから確認すると管理者権限が付いている
net user USER /delete
※参考
スクリプトの実行方法
notepad FILE_NAME
が簡単PATH_TO_FILE
, 別窓実行は start PATH_TO_FILE
スクリプトの書き方
@echo off
: 実行中のコマンドを表示しないsetlocal
: スクリプト内の環境変数変更をローカルに待避させ、実行終了後に変更を破棄するnetsh advfirewall set currentprofile state on
で起動
起動しているかはnetsh advfirewall show currentprofile
で確認可能
netsh advfirewall firewall show rule name=all status=enabled
(あんまり見やすくない...)
そのような機能は無いのでPowerShellのselect-stringを使う
LocalPort: 80で絞り込む例:
netsh advfirewall firewall show rule name=all | select-string "LocalPort: *80" -context 9,4
netsh advfirewall firewall set rule name="RULE_NAME" new enable=yes
netsh advfirewall firewall set rule name="RULE_NAME" new enable=no
netsh advfirewall firewall add rule name="RULE_NAME" PARAMS
PARAMSはhelp参照
netsh advfirewall firewall delete rule name="RULE_NAME"
基本 https://blogs.technet.microsoft.com/canitpro/2017/02/22/step-by-step-setting-up-active-directory-in-windows-server-2016/ の通りにGUIから進めた
ただし(1)TCP/IPv4の設定ではDNSのみ指定し、IPは指定しなかった IPはAWSのコンパネで管理しているのでローカルで指定する必要を感じなかった
domainはad.local
, DSRM passwordは 3OQfqgFWD1pe5srRiD5F
わかる範囲で返答します!
command promptから管理者権限付与後net userでは管理者権限が確認できない原因が分からない
net localgroup administrators USER /add
でAdministrators追加した場合、
ローカルグループのAdministratorsグループに追加されます。
このときの確認方法はnet user USER名
で実行すると、下の方に所属グループが表示されている(Local Group Memberships)ので、これで確認できます。
またAdministratorとAdministratorsは別物で、sの方がグループです。
ADのdomainは任意の名前にしてしまってよいか
たぶん良いと思います。DNSはBINDに持たせているので特に問題ないはず・・・?
現時点でADに追加すべき設定はあるか
wanacry対策でSMBv1を無効化させると良いと思います。 ※削除だと再起動が必要&SMBv1が後から必要な場合戻すのも手間なため無効化推奨
Powershellで実行
※Windows 2016でもコマンドが有効なことを確認済み
検出: Get-SmbServerConfiguration | Select EnableSMB1Protocol
無効化: Set-SmbServerConfiguration -EnableSMB1Protocol $false
有効化: Set-SmbServerConfiguration -EnableSMB1Protocol $true
CVE-2017-7269でWebDAVも無効化しましょう
ToDo & 今回での変更点
domain: ad.local
でforestを作成疑問点
net user
では管理者権限が確認できない原因が分からない参考資料
ActiveDirectory
local user, Administrators
firewall