Account Operators 可以获得对所有邮箱的访问(收藏)

最新推荐文章于 2023-05-28 21:58:17 发布
最新推荐文章于 2023-05-28 21:58:17 发布
阅读量340 收藏
点赞数
文章标签: 数据库

帐户操作员和 Active Directory 中的域管理员具有添加和删除组对象的用户的权限 ; 因此,Account Operators 和 Active Directory 中的域管理员可以添加自己到 Exchange Domain Servers 组。 如果域管理员或企业管理员将自己添加到 Exchange Domain Servers 组,它们不能访问邮箱因为没有一个继承的 Deny 访问控制项 (ACE) 的代理接收每个数据库上的权限,这些组的成员。

但是,没有 Account Operators 继承或显式访问控制项 (ACE) 因此 Account Operators 假定对信息存储在 Exchange Domain Servers 组的权限。 因此,从包含 Exchange 2000 服务器的任何域的帐户操作员可以访问所有邮箱。 这些帐户运算符将作为中具有权限添加本身 (或其他人) 域服务器组使其发送,并且接收权限的所有信息都存储数据库。

若要解决此问题,应用 EDSLock.vbs 脚本。 有关其他信息,单击下面,文章编号,以查看 Microsoft 知识库中相应:

313807 (http://support.microsoft.com/kb/313807/EN-US/ ) XADM: 增强的 Exchange Domain Servers 组的 Exchange 2000 的安全

应用 EDSLock.vbs 脚本安全 tightens Exchange Domain Servers 组的成员,这样该组的成员没有访问所有邮箱存储和 Exchange 组织中的公用文件夹的权限。

此外,Microsoft 建议以便 Account Operators 只具有此组的读访问权限,管理员都将更改 Exchange Domain Servers 组在默认权限。 如果这样做 Account Operators 无法将添加自己到 Exchange Domain Servers 组。

如果您不希望更改 Exchange Domain Servers 组对邮箱存储和公用文件夹的权限,您可以部署"服务器域",独立于"用户域,然后找到用户域中的有帐户操作员权限的用户。

[@more@]

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/9885145/viewspace-1024939/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/9885145/viewspace-1024939/

cuiqi1238
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
利用Account Operators组实现接管域控或权限提升
谢公子的博客
04-29 3443
在域渗透的过程中,我们往往只会关注Domain admins组和Enterprise Admins组,而会忽略了其它组。今天,我们要讲的是Account Operators组。该组是内置的本地域组。该组的成员可以创建和管理该域中的用户和组并为其设置权限,也可以在本地登录域控制器。但是,不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。也就是说,该组默认是域内管理用户和组的特殊权限组。 在实际环境中,某些企业会有专门的管理用户账
【通过组配置权限和实现管理】
m0_62279905的博客
10-09 797
通过组配置权限和实现管理!
通用组、全局组、本地域组的区别
热门推荐
young_cpp的专栏
08-21 2万+
1、本地域组:多域用户访问单域资源(访问同一个域)     本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。 2、全局组:   单域用户访问多域资源(必须是一个域里面的用户)     全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限; 3、通用组:   多域用
HTB-Forest(PowerView.ps1使用、嵌套组解析、了解帐户操作员组)
墨痕诉清风的博客
05-28 1123
列出了相当多的域用户,因此我复制了完整的列表并将其添加到名为user.txt的文件中,然后使用Linux-fu对其进行清理并将其放入名为users.txt的新文件中。此组的成员可以创建和修改大多数类型的帐户,包括用户、本地组和全局组的帐户。这显示了当前用户是3个组的一部分,但我可以在这里看到“特权IT帐户”,这是我在使用net user命令时没有看到的。由于我到达了嵌套路径的末尾,我决定在“帐户操作员”组上运行相同的命令,只是这次我不会选择特定的字段,以便我可以获得有关该组的一些信息。
Operators
03-10
运营商集团 在线教育项目
eslint-plugin-no-mixed-operators:针对eslint的可修复的no-mixed-operators规则
02-05
安装yarn add -D eslint-plugin-no-mixed-operators 要么npm install --save-dev eslint-plugin-no-mixed-operators用法像常规插件一样使用它,并禁用原始插件(如果已启用)。 // .eslintrc{ "plugins" : [ "no-...
Javascript常用运算符(Operators)-javascript基础教程
10-30
Javascript 中的运算符(Operators)是执行操作的符号,用于对变量、值或表达式进行操作。运算符可以分为多种类型,包括算术运算符、逻辑运算符、赋值运算符等。 算术运算符 算术运算符用于执行基本的数学运算,...
Teradata SQL Functions, Operators, Expressions, and Predicates
02-04
Teradata SQL Functions, Operators, Expressions, and Predicates
kubernetes operators
06-29
《如何编写OperatorOperator 模式旨在捕获(正在管理一个或一组服务的)运维人员的关键目标。 负责特定应用和 service 的运维人员,在系统应该如何运行、如何部署以及出现问题时如何处理等方面有深入的了解。...
AD管理之授权用户将计算机加入域的权限
weixin_33912453的博客
12-08 824
对于我们这个行业,经常会遇到AD管理的很多问题,其中部分是企业里IT管理常见的需求,部分是鲜见的奇怪需求。今天我来讲一个我们企业目前遇到的一个问题: 在AD里授权给Helpdesk人员将客户端计算机加入域的权限。因为我们通常不希望给这些人员的账户太多的权限,要遵循最小权限的原则。 首先微软推荐我们完成这个任务的两种途径: 一、 通过组策略完成: 1. 打开【域默认...
内部计算机的用户安全策略,组策略设置系列篇之“用户权限”[一]
weixin_32019361的博客
06-23 2111
1.用户权限允许用户在计算机上或域中执行任务。用户权限包括“登录权限”和“特权”。登录权限控制为谁授予登录计算机的权限以及他们的登录方式。特权控制计算机和域资源的访问,并且可以覆盖特定对象上设置的权限。2.登录权限的一个示例是在本地登录计算机的能力。特权的一个示例是关闭计算机的能力。这两种用户权限都由管理员作为计算机安全设置的一部分分配给单个用户或组。用户权限分配设置用户权限分配设置您可以在组策略...
删除计算机用户时拒绝访问权限,加入计算机时拒绝访问 - Windows Server | Microsoft Docs...
weixin_34146759的博客
06-15 402
错误:当已委派控制权的非管理员用户尝试将计算机加入域控制器时,访问被拒绝10/15/2020本文内容本文提供了一个解决方案,当已委派控制权的非管理员用户尝试将计算机加入域控制器时出现错误消息。适用于: Windows Server 2012R2原始 KB 编号: 932455症状在基于 Microsoft Windows Server 2003 或基于 Windows Server 2008...
1.我所了解的内网渗透
weixin_30496431的博客
01-29 2006
最近看了一点内网渗透的学习资料,感觉内网渗透需要的知识太多,遂写博客来记录下自己学习内网渗透的一些笔记。 开篇首先推荐i春秋陈小兵老师在技术沙龙上的分享:https://www.ichunqiu.com/open/61711 并看大佬的一篇msf内网穿透文章:https://www.freebuf.com/articles/network/125278.html 其中内网渗透常见的几个问...
获取域用户信息
SolidWorks 二次开发
07-03 1530
Public Shared ReadOnly Property UserName As String Get Dim result As String Using directoryEntry As DirectoryEntry = New DirectoryEntry("LDAP://" + IPGlobalProperties....
NT AUTHORRITYSELF权限丢失
weixin_34329187的博客
06-05 204
最近刚刚将exchange2003迁移到exchange2010,几天后有个香港同事反应无法发送邮件,故障现象如下:现象一:“管理代理发送权限”那个是空的,NTAUTHORRITY/SELF不见了。(在Exchange管理控制台中邮箱中选择用户,点右键,选择“管理代理发送权限”就可以看到了。)现象二:发送邮件时,邮件服务器响应为:5.7.1Clie...
全局组,域本地组,通用组区别(AGDLP),OU(组织单元)与Group(组)之对比
bytxl的专栏
06-25 1万+
1、本地域组:多域用户访问单域资源(访问同一个域)     本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。 2、全局组:   单域用户访问多域资源(必须是一个域里面的用户)     全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限; 3、通用组:   多域用户
sqlserver2000给账户授予所有的权限_内网渗透 | 域内权限解读
weixin_39611413的博客
12-04 452
域内权限解读目录域本地组全局组通用组A-G-DL-P策略内置组几个比较重要的域本地组几个比较重要的全局组、通用组的权限域本地组多域用户访问单域资源(访问同一个域)可以从任何域添加用户账户、通用组和全局组,但只能在其所在域内指派权限。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。全局组单域用户访问多域资源(必须是一个域里面的用户)只能在创建该全局组的域中添加用户和全局...
climate data operators
最新发布
07-06
气候数据操作员(Climate Data Operators)是一种用于处理和分析气候数据的软件工具。这些操作员可以帮助研究人员、气象学家、气候模型师等专业人员从大量的气象观测数据中提取有用的信息。 气候数据操作员可以执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值