Domain Admin Account Verstoppen in Active Directory
Het blijkt verrassend eenvoudig om een domain admin account te verstoppen in Active Directory. In dit stappenplan laat ik zien hoe je dit kunt doen én wat je eraan kunt doen. Je moet zelf domain admin zijn om deze handelingen uit te voeren.
Stappenplan verstoppen
-
Start Active Directory Users and Computers (ADUC).
-
Ga naar het menu View en schakel Advanced Features in.
-
Maak een nieuwe Organizational Unit (OU) aan, bijvoorbeeld "Personel", en maak daarin twee sub-OU’s: "Hiddema" en "Baudet".
-
Maak in elke OU een gebruiker aan. In "Hiddema" maak je "Theo Hiddema" aan, en in "Baudet" "Thierry Baudet".
-
Klik met de rechtermuisknop op de OU "Hiddema" en kies Properties.
-
Ga naar het tabblad Security.
-
Klik op Advanced.
-
Haal het vinkje weg bij Allow inheritable permissions from the parent to propagate to this object.
-
Klik op Copy en vervolgens op OK.
-
Klik op Add en voeg nu de gebruiker toe die je wilt machtigen, voordat je de overige machtigingen verwijdert. Klik daarna op OK.
-
Selecteer de toegevoegde gebruiker en zet het vinkje bij Full control in de kolom Allow aan.
-
Verwijder alle andere groepen behalve de volgende:
-
ENTERPRISE DOMAIN CONTROLLERS
-
Exchange Enterprise Servers
-
SYSTEM
-
De zojuist toegevoegde gebruiker
-
Klik op OK om alles op te slaan.
-
Vanaf nu kunnen alleen de gebruiker of groep met expliciete machtigingen objecten in deze OU zien en aanpassen. Anderen die inloggen, kunnen zowel de OU als de gebruiker niet zien.
.
Wat kun je ertegen doen?
Gelukkig is er een hulpmiddel: het script WhatAmIMissing. Dit script laat zien welke accounts je niet kunt zien. Het nadeel is dat je niet ziet waar deze accounts precies verborgen zijn, maar het is een goede start om verborgen accounts te detecteren.