• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Передача всех админ. прав

  • Автор темы oleg7
  • Дата начала
Статус
Закрыто для дальнейших ответов.
O

oleg7

Есть необходимость удалить учетную запись администратора, при этом все уго права передать другому человеку. Как это сделать правильно?
Надо чтобы все права администратора принадлежали только одному человеку.
 
K

Klido

это серьёзный вопрос... стоило задать его пару недель назад вместе с остальными вопросами про ограничение доступа старого админа :KillMe:

в общем случае ответ прост: дать новому челу все права, а учётку старого удалить, обязательно с занесением в группу запрета доступа.

по факту же - всё зависит от правильности исторических действий предыдущего админа по настройке доступов и прав. В приближении к идеалу речь идёт о внесении нового админа в одну или несколько административных групп плюс некоторые ньюансы в специальных случаях вроде доступов на восстановление .ид.
 
O

oleg7

этот админ указан только один например в Domino Directory в настройках сервера. Мне надо в ручную добавлять другого человека или можно как-то передать все его права другому пользователю?

Добавлено: если я заменю этого пользователя на группу LocalDominoAdmin и укажу в этой группе необходимого человека, то это будет правильным решением или нет?
 
K

Klido

указан только один например в Domino Directory в настройках сервера
не факт - я же привел пример неочевидных прав (восстановление .id), виртуально неизвестно что там у вас и как....

я заменю этого пользователя на группу LocalDominoAdmin
в целом - да, только админскую группу желательно сделать свою, на крайний случай её же можно включить в локальных админов (смысл в том, что группа локальных админов есть у 99% лотусосетей и может быть использована для несанкционированного доступа)

Т.е. Вводим группу везде, где есть старый админ с аналогичными правами, вводим в группу нового админа, удаляем учётку старого.
 
O

oleg7

может глупый вопрос, но .... а где задаются права для восстановления .id?
 
K

Klido

де задаются права для восстановления .id
оно у вас настроено? если нет - не надо и заморачиваться пока что...

В целом простая замена старого на нового достаточна. Из страшного может быть - если старый админ зашифровал базы своим ключом, а не серверным или что-то в таком роде. Благодаря FA новый админ всегда сможет получить нужные доступы в будущем, если что-то пойдет не так....
 
O

oleg7

скажите пожалуйста, а нет такой возможности, чтобы в Lotus передать полностью все права одного человека на другого?
 
K

Klido

Переименовываешь пользователя, меняешь ему ключи - и всё тип-топ. По правам, но могут возникнуть ньюансы с конкретными приложениями - должны быть включены опции замены names полей и напрямую не использоваться списки псевдодоступов (, например, лотусиные имена в текстовых полях документов, оп которым что-нить вычисляется...) иначе надо дорабатывать понятно каким инструментом...
 
O

oleg7

ренейм - т.е. я переименовываю например администратора на свое ФИО, а удаляю себя? я имею все права, но получается опять таки доступ от старого id-администратора останется возможным или нет?
что хочу получить:
1. избавиться от возможности доступа под id-админа(старой id, которая указана во всех настройка)
2. передать права другому пользователю
3. новый пользователь имеет все права, которые указаны в п.1
 
K

Klido

за последние 2 недели вопросов можно было уже не раз прочитать пару книг по администрированию домино и по его безопасности, в частности...

доступ от старого id-администратора останется возможным или нет?
в общем случае достаточно поместить лотуснейм юзера в группу запрета доступа и доступ получен не будет, а если ещё и удалена запись - то вообще не будет :google:

1. (включена принудительная проверка ключей на сервере)
а) удалить запись, старое имя в запрет доступа
б) переименование, смена ключей, старое имя в запрет доступа

2. при б) "права" наследуются автоматом, написал в кавычках - т.к. долго пояснять разновидности прав :)
3. ???
 
Статус
Закрыто для дальнейших ответов.
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!