local admin group W2k: Your colleague's got total power of Your pc from his own computer on Your corporate Network: Read TryWareDk's Website - Microsoft Windows 2000 HTML Securityhole Member Local Administrators Group Hotfix Admin Admins Administrator Groups Members Security Office program programs software freeware shareware Outlook Distributionsliste Email Adressbook Adressebog Mandatberegning

Does Your colleague have total power of Your Windows 2000 computer on network?

Yes – If You can install programs or can run defrag (drfg.msc) on Your own computer.

And You don’t see anything, while Your colleague from his own computer, can work with all of Your hard disc in his Explorer.

Why is it so?

If Your Company uses Windows 2000 on a NT-network, and Your IT-System administrator have given You permission to install programs on Your own hard disc, then anybody of Your colleagues can do what they like with Your hard disc, and it happens from their own computer, and You don’t see anything, while it happens.

And You can do anything You like with Your colleagues hard disc’s.

Do You believe it?

Is it a security hole in Windows?

Coming any hotfix from Microsoft?

Can Your IT- System administrator fix this with policy?

Can Your IT- System administrator fix this by allowing DomainUsers 2 hours in GlobalGroups while they install programs?

The answer to these questions is NO!

This is how to do if You’re not an IT-System administrator:

1. Choose Start / Run

2. Input \\ComputerName\C$ and press ENTER

3. As ComputerName You must choose on of Your colleagues ComputerName

4. Exit Explorer (without doing anything), and contact Your IT-System administrator.

If You don’t know Your colleagues ComputerNames, then do this:

Choose Start / Run

Input CMD and press ENTER

Input NET VIEW and press ENTER

Input EXIT and press ENTER

Please don’t destroy anything on Your colleagues hard disc, it could happen to Yourself. Please contact Your IT-System administrator, and ask him to solve this problem.

This is how to do, if You are the IT-System-administrator (2 choices):

1. Remove every other than Local Administrator and Domain Admins from Local Admin Group, and make different passwords on Local Administrator on each computer on Your network. Make sure to lock Your list of these passwords in Your safety box, making it possible to logon the computer, if the network fails on the computer.

Then add the Domain User, who daily uses each computer, to Local Admin Group, and make sure, that he is not in any other Local Admin Group on a computer in Your Company’s network.

Make sure, if a colleague suddenly has to use the computer, that You removes the first Domain User, and adds the new Domain User (who has to logon 2 times before it works), and remove the new Domain User from the Local Admin Group on the other computer, he uses each day.

You must pay attention on all computers on Your network. Remember to check all Local Admin Group's a couple of times each year.

With this annoying work from You, Your users can install programs and defrag their hard disc, without being able to gain access to each others hard disc’s.

2. Remove every other than Local Administrator and Domain Admins from Local Admin Group, and make different passwords on Local Administrator on each computer on Your network. Make sure to lock Your list of these passwords in Your safety box, making it possible to logon the computer, if the network fails on the computer.

Make sure to remove all Domain Groups on all Local Admin Groups (but not the Domain Admins Group), if You had some, to grant to Domain Users for som hours, while they install programs.

With this annoying work from You, Your users cannot install programs and cannot defrag their hard disc, and the cannot gain access to each others hard disc’s.

You must install all programs on each computer on Your network, as Your users time to another must have installed. And You must defrag all the computers on Your network, when it’s necessary.

All this is a problem because Microsoft created the Windows 2000 operating system this way. Read more about it on http://support.microsoft.com/?kbid=182734

If You choose to follow Microsoft’s recommendations, it the same as choosing my second explanation above.

Many Regards

Jorgen Malmgren

IT-supervisor

Denmark

Find løsning på dette problem på www.TryWare.Dk

Hvis dit firma bruger Windows 2000 på et NT-netværk, og din IT-Administrator har givet dig tilladelse til at installere programmer på din egen harddisk, så kan enhver af dine kolleger gøre hvad de har lyst til med din harddisk, og det sker fra deres egen pc, uden at du opdager det.

Og du kan gøre hvad du har lyst til med dine kollegers harddisk.

Tror du på det?
Er det et sikkerhedshul i Windows?
Kommer der en hotfix fra Microsoft?
Kan din IT-Administrator fixe dette med policy?
Kan din IT-Administrator fixe dette ved at tillade DomainUsers 2 timer i GlobalGroups mens de installerer programmer?

Svaret på disse spørgsmål er NEJ!

Sådan gør du hvis du ikke er IT-Administrator:
1. Vælg Start / Kør
2. Indtast \\ComputerName\C$ og tryk ENTER
3. Som ComputerName vælger du en af dine kollegers computernavn
4. Afslut Stifinder (uden at røre noget), og kontakt din IT-Administrator.

Hvis du ikke kender dine kollegers computernavne, så gør sådan:
Vælg Start / Kør
Indtast CMD og tryk ENTER
Indtast NET VIEW og tryk ENTER
Indtast EXIT og tryk ENTER

Lad nu være med at ødelægge noget på din kollega's harddisk, det kunne jo også gå ud over dig selv. Kontakt i stedet for din IT-administrator, og sørg for at dette problem bliver løst.

Sådan gør du hvis du er IT-Administrator (2 muligheder):

1. Fjern alle andre end Local Administrator og Domain Admins fra Local Admin Group, og sæt forskelligt password på Local Administrator for hver enkelt pc på netværket. Sørg for at låse listen over disse password godt inde i dit pengeskab, så du kan logge ind på pc'en, hvis netværket fejler på pc'en. Tilføj herefter den Domain User, der dagligt bruger hver enkelt pc, til Local Admin Group, og sørg for at pågældende ikke findes i nogen anden Local Admin Group på pc'er i firmaets netværk. Sørg også for, at hvis en kollega midlertidigt skal bruge pc'en at slette den første Domain User, og oprette den midlertidige Domain User (som skal logge ind 2 gange før det virker), samt slette sidstnævnte fra den anden pc, som pågældende bruger til daglig.

Alt dette skal du holde nøje øje med på samtlige computere på netværket. Husk at kontrollere samtlige Local Admin Group's et par gange om året.

Med dette store kontrolarbejde fra din side, så kan dine brugere selv installere programmer og defragmentere sin harddisk uden at kunne snage hos hinanden.

2. Fjern alle andre end Local Administrator og Domain Admins fra Local Admin Group, og sæt forskelligt password på Local Administrator for hver enkelt pc på netværket. Sørg for at låse listen over disse password godt inde i dit pengeskab, så du kan logge ind på pc'en, hvis netværket fejler på pc'en. Sørg for at der ikke eksisterer nogen Domain Groups, som du midlertidigt placerer Domain Users i, hvis de skal installere programmer.

Med dette lille forarbejde fra din side, så kan dine brugere IKKE selv installere programmer eller defragmentere sin harddisk, men heller ikke snage hos hinanden.

Du skal selv sørge for at installere alle de programmer, på hver enkelt af netværkets computere, som dine brugere tid til anden har behov for, og sørge for at defragmentere alle netværkets computere en gang i mellem efter behov.

PS: Undskyld de mange engelske udtryk, men dette problem er forårsaget af, at Microsoft har bygget Windows 2000 operativsystemet på den måde. Læs evt. mere herom på http://support.microsoft.com/?kbid=182734
Hvis du følger Microsofts anbefalinger, så svarer det til løsning 2 ovenfor.

Med venlig hilsen

Jørgen Malmgren

IT-konsulent