101 ответов в этой теме

[BigVal]

Именно этот юзер по SMB имеет право логиниться и имеет ли доступ к шаре ADMIN$?

пытаюсь установить из ЦУ на свой хост (хост в домене, на нем я гарантированный Админ всех возможных вариантов) из под своей доменной учетной записи (доменадминская) - та же история, в логах "unable to connect..."
 

[Afalin]

Просто unable to connect не интересен.

[BigVal]

Остальные персонализации - кому давать фаерволл, кому нет, можно и нужно делать через веб-фейс ес-сервера.

Я правильно понимаю, что установив только пакет drweb-11.05.0-201901220-esuite-agent-activedirectory.msi (а там только инсталятор агента) он потом увидит, что группе (на ES) назначены "Устанавливаемые компоненты" и дотянет все необходимое (если конечно стояло в статусе Должен быть установлен")?
А если стояло в статусе "Может быть установлен" и я хочу именно этому хосту доставить? (это конечно не частый сценарий, но все же). 

napshv никак не могла создать такой вкладки. Это другая утилита.

Эта вкладка у меня появилась еще после установки для 10 версии (и тогда тоже не работала)… какая конкретно утилита ее создала сейчас уже не помню :-(
т.е. по сути эта вкладка говорит является ли учетка админской? только вот кому она говорит? при авторизации в консоли ES посредством AD/LDAP?

И еще, насколько я понимаю если ранее агент был установлен через Удаленную установку с ЦУ или локально (ручками), то прежде чем накатывать его через "адскую" политику, то нужно агента с хоста убрать? (см. https://download.geo.drweb.com/pub/drweb/esuite/11.0.2/documentation/HTML/ru/installation_manual/index.html?install_agent_ad.htmраздел Применение политик с учетом предыдущих установок агента).
 

[BigVal]

Просто unable to connect не интересен.

 

ну все так же как в исходных логах...  заменил только реальные имена хостов и доменов...

20190220.142559.29 tr0 [01092 1060] smb:3  [RemoteRun] wss://srv-antivir.nashdomen.ru:49471: unable to add connection to USER@HOST.nashdomen.ru with password because of Logon failure: the user has not been granted the requested logon type at this computer (code=1385)
20190220.142559.29 db3 [01092 1060] smb:3  [WEBMIN/WS] wss://srv-antivir.nashdomen.ru:49471: sending 74 bytes TEXT message "{"msgtype":1,"code":103,"host":"HOST.nashdomen.ru","share":"ADMIN$"}"
20190220.142559.29 db0 [01092 1060] smb:3  [WEBMIN] Debug: ws( 000000312FC60B20, 000000313725B970 ): frame 81:4a, 74b,FIN,TEXT "{"msgtype":1,"code":103,"host":"HOST.corp.nashdomen.ru","share":"ADMIN$"}"
20190220.142559.29 db0 [01092 08f0] wnt:3  [WEBMIN] Debug: http*( 000000312FC60B28 wss://srv-antivir.nashdomen:49471 ): on_send size=234 termination=0
20190220.142559.29 db3 [01092 0914] msn:1  [DBPool] Thread has got connection [SqLite3/1] "send unsent alert"

Может, что-то с политикой AD для SMB не так? только вот где и что смотреть? (https://support.microsoft.com/ru-ru/help/2696547/how-to-detect-enable-and-disable-smbv1-smbv2-and-smbv3-in-windows-and читал, все проверил - все включено)...
 

[Afalin]

Что-то подумалось про "без пароля". У Вас там часом не стоит simple file sharing?

[BigVal]

Что-то подумалось про "без пароля". У Вас там часом не стоит simple file sharing?

А что под этим имеется в виду (быстрый гугл я чето не понял :-))?
Если для Локальных учеток, то настроена политика Модели общего доступа и безопасности - Обычная: Локальные пользователи удостоверяются как они сами. 
Для доменного профиля включено Сетевое обнаружение и Включен сетевой доступ, для остальных профилей - отключен...

[BigVal]

 

Что-то подумалось про "без пароля". У Вас там часом не стоит simple file sharing?

А что под этим имеется в виду (быстрый гугл я чето не понял :-))?
Если для Локальных учеток, то настроена политика Модели общего доступа и безопасности - Обычная: Локальные пользователи удостоверяются как они сами. 
Для доменного профиля включено Сетевое обнаружение и Включен сетевой доступ, для остальных профилей - отключен...

 

 

Ну еще до кучи: пароль админа комплексный, т.е. есть он длинный, разные буквы (лат/регистр), цифры и спецсимволы (некоторые могут трактоваться как управляющие...) не может это влиять при передаче параметра поля пароля из веб-интерфейса в исполняемую команду?
 

[Afalin]

А что под этим имеется в виду (быстрый гугл я чето не понял :-))?

Авторизация в SMB без использования пароля вообще.

[Afalin]

Ещё в гугле популярно мнение, что при такой ошибке может не хватать "Computer Configuration > Windows Settings > Security Settings > User Rights Assignment > Allow log on locally".

[Kirill Polubelov]

Я правильно понимаю, что установив только пакет drweb-11.05.0-201901220-esuite-agent-activedirectory.msi (а там только инсталятор агента) он потом увидит, что группе (на ES) назначены "Устанавливаемые компоненты" и дотянет все необходимое (если конечно стояло в статусе Должен быть установлен")?

 

Когда вы разворачиваете (выполняете административную установку) пакета на шаре, вы можете выбрать с каким дефолтным набором оно будет деплоиться на станции.

Далее, можно, задав условия членства в группах, например, раскидывать вновь приходящие станции по группам с соответствующим набором компонент. Само собой, можно задавать и индивидуальные наборы для конкретной станции. Тогда станция будет иметь персональные  настройки устанавливаемых компонент, а не наследовать от группы.

 

 

 

Эта вкладка у меня появилась еще после установки для 10 версии (и тогда тоже не работала)… какая конкретно утилита ее создала сейчас уже не помню :-(
т.е. по сути эта вкладка говорит является ли учетка админской? только вот кому она говорит? при авторизации в консоли ES посредством AD/LDAP?

 

aduac и modify-ad-schema -- вот эти две. И да, таким вариантом только создается атрибут DrWebAdmin, который через mmc-оснастку управления юзерами вы можете выключить/включить. По этому атрибуту ес-сервер проверяет, можно ли допустить данного юзера в интерфейс, при регистрации.

Вариант с LDAP авторизацией не требует этих утилит и модификаций схемы ADS.

Сообщение было изменено Kirill Polubelov: 20 Февраль 2019 - 12:47

[Afalin]

Ну еще до кучи: пароль админа комплексный, т.е. есть он длинный, разные буквы (лат/регистр), цифры и спецсимволы (некоторые могут трактоваться как управляющие...) не может это влиять при передаче параметра поля пароля из веб-интерфейса в исполняемую команду?

Хм, а интересно. В том логе, что у меня есть, пароль не соответствует этим критериям. Посмотрите в строку «TEXT+FIN message "user» и скажите, всё ли нормально с тем паролем.

[BigVal]

 

Ну еще до кучи: пароль админа комплексный, т.е. есть он длинный, разные буквы (лат/регистр), цифры и спецсимволы (некоторые могут трактоваться как управляющие...) не может это влиять при передаче параметра поля пароля из веб-интерфейса в исполняемую команду?

Хм, а интересно. В том логе, что у меня есть, пароль не соответствует этим критериям. Посмотрите в строку «TEXT+FIN message "user» и скажите, всё ли нормально с тем паролем.

 

Там верный пароль... на счет комплексности слегка погорячился: 3 набора из 4 возможных :-) в логе все верно указано логин:пас

[BigVal]

Ещё в гугле популярно мнение, что при такой ошибке может не хватать "Computer Configuration > Windows Settings > Security Settings > User Rights Assignment > Allow log on locally".

 

локальный вход конечно есть всем... и на уровне доменной политики и в локальной...
вот на счет авторизации SMB без пароля - это какие-то права для ананимусов? в LanMane Workstation есть: "Небезопасные гостевые входы используются файловыми серверами для разрешения доступа без проверки подлинности к общим папкам" - включено в доменной...

[Afalin]

вот на счет авторизации SMB без пароля - это какие-то права для ананимусов?

Таки для машин в домене эта опция неактуальна.

Значит, надо дальше думать, что в окружении приводит к таким ошибкам.

[BigVal]

Когда вы разворачиваете (выполняете административную установку) пакета на шаре, вы можете выбрать с каким дефолтным набором оно будет деплоиться на станции.

На счет произвольного дефолтного набора понятно... Как быть если всей группе не ставим фаервол, но у группы стоит, что фаервол "Может быть установлен" (не должен (обязательно), а может (опционально)). Потом одному участнику из этой группы я хочу фаервол доставить ничего не меняя в настройках группы, не давай Персональных настроек и не переделывая OU в AD и не делая WMI-фильтр... тут как раз установка из ЦУ самый быстрый вариант. Хоть это и почти не вероятный сюжет, но все же :-)

Далее, можно, задав условия членства в группах, например, раскидывать вновь приходящие станции по группам с соответствующим набором компонент.

тут тоже понятно, в моем случае правило по принадлежности к подсети (разные подсети, разные группы... сервер к сожалению один, а территорий несколько)

 

создается атрибут DrWebAdmin, который через mmc-оснастку управления юзерами вы можете выключить/включить

А вот интересно, вкладка с реквизитом у меня есть, а вот самого Атрибута в списке нет/не видно (вкладка Редактор атрибутов Свойства учетной записи пользователя, фильтрация отключена) :-(

 

С авторизацией по LDAP понятно...

 

[Kirill Polubelov]

тут как раз установка из ЦУ самый быстрый вариант

Это тоже самое, вид сбоку. Вы получите станцию с персональными настройками.

 

А вот интересно, вкладка с реквизитом у меня есть, а вот самого Атрибута в списке нет/не видно (вкладка Редактор атрибутов Свойства учетной записи пользователя, фильтрация отключена) :-(

Думаю, тут лучше продемонстрировать скриншот, о чём речь. Одинаково ли мы понимаем.

[Afalin]

тут как раз установка из ЦУ самый быстрый вариант

Это тоже самое, вид сбоку. Вы получите станцию с персональными настройками.

Не должно там при этом появляться персональных настроек.

[BigVal]

 

тут как раз установка из ЦУ самый быстрый вариант

Это тоже самое, вид сбоку. Вы получите станцию с персональными настройками.

Не должно там при этом появляться персональных настроек.

 

 

Если вариант стоял "Возможно установить" и я просто доставил из ЦУ, то Персональных настроек (шестеренка) у этого клиента не появляется, что и логично: это не противоречит выставленным политикам ES-группы.
 

Думаю, тут лучше продемонстрировать скриншот, о чём речь. Одинаково ли мы понимаем.

 

Скрин где есть вкладка DrWeb Анатоция1
Скрин списка атрибутов учетки Аннотация2 (там видно что фильтров нет и самого атрибута тоже нет).

 

Прикрепленные файлы:

•  Аннотация1.jpg   54,7К   0 Скачано раз
•  Аннотация2.jpg   125,66К   0 Скачано раз

Сообщение было изменено BigVal: 20 Февраль 2019 - 14:45

[BigVal]

 

 

тут как раз установка из ЦУ самый быстрый вариант

Это тоже самое, вид сбоку. Вы получите станцию с персональными настройками.

Не должно там при этом появляться персональных настроек.

 

 

Если вариант стоял "Возможно установить" и я просто доставил из ЦУ, то Персональных настроек (шестеренка) у этого клиента не появляется, что и логично: это не противоречит выставленным политикам ES-группы.
 

Думаю, тут лучше продемонстрировать скриншот, о чём речь. Одинаково ли мы понимаем.

 

Скрин где есть вкладка DrWeb Анатоция1
Скрин списка атрибутов учетки Аннотация2 (там видно что фильтров нет и самого атрибута тоже нет).

 

 

А посмотрел в Редакторе ADSI - есть: CN=Configuration, DC=nashdomen, DC=ru; CN=Schema; CN=DrWebAdmin 

[Kirill Polubelov]

Значение 'no set', потому и не видно, наверно. Если задать, должно появиться.