Samba-ADの管理者権限でハマった話

Windows

この記事は、Sambaを用いてActive Directoryを構築したときに発生したドハマりと、その解決方法を紹介する内容です。上図と同じことが起きて困っているかたの助けになればと思います!

現象

Sambaの構築が無事に完了し、クライアントでドメインに参加もでき、Administratorでログインもでき、ホクホクしているときにそれは起きました。『指定されたデバイス、パス、またはファイルにアクセスできません。これらの項目にアクセスするための適切なアクセス許可がない可能性があります。』というもの。

クライアントにリモートサーバーツール(RSAT)を導入しようとしたときに、Windows 10 の 1809 以降は『アプリと機能』から導入する仕様になっていたので、エラーのスクリーンショットが設定画面になっているわけです。

※関係ないですが、思い付きのように仕様を変えるのやめてほしいですね~

結論

”Administrator”ではなく、別のユーザー名で管理者を立てましょう。それだけでした。"Administrator"や"Admin"、"root"といったユーザー名は使われすぎています。そのため、ブルートフォースアタックでクラッキングするときに、真っ先に狙われちゃうのでしょう。これはもう歩く脆弱性なわけです。

『コンピューターの管理』からユーザー一覧を確認すると、『アイコンに下矢印』が付いています。これは、アカウントが無効化になっているマークです。"Administrator"だけではなく、昔に使われていた"Guest"も無効化になっているようですね。

Sambaのコマンド

ユーザー作成

# samba-tool user add "any-name"
New Password:
Retype Password:
# samba-tool user list

グループ参加

# samba-tool group addmembers "Domain Admins" "any-name"
# samba-tool group listmembers "Domain Admins"

今回は管理者を追加したかったので、"Domain Admins"に加えました。新しく作成したユーザーでは、問題なく管理者権限も振られていて、RSATも無事インストールができました。

環境

  • CentOS 7.7.xxxx
  • Samba 4.10.13
  • Windows 10 Pro ver 1909

結果、大したことないトラブルだったのに、原因を探すのに7時間はかかったよ~

Windows