SharePoint 365 je fasa vec. Najmä na orientáciu, kde všade máme prístup. Vo web rozhraní vidíte tak akurát stránky ktoré sledujete a potom tie nedávne, resp. časté. Žiadna indikácia ako si pozrieť všetky stránky ktorých ste členom.
Dostaneme sa k nim tak, že do vyhľadávania dáme výraz contentclass:STS_Site
alebo si otvoríme stránku https://[naša doména].sharepoint.com/_layouts/15/sharepoint.aspx?q=contentclass%3ASTS_Site&v=search
Zmena hesla pre computer objekty v doméne je pravidelný proces, ktorý je v predvolenom režime nastavený na 30 dní. Ak si nám nejaký počítač heslo neresetuje, opravíme to napríklad príkazom Reset-ComputerMachinePassword, prípadne na diaľku
Ak používate Microsoft LAPS existuje istá skupina ľudí, ktorí majú právo vidieť a použiť heslo iného používateľa. V predvolenom režime je to samozrejme skupina Domain a Enterprise Admins, ale je možné delegovať práva aj iným. Zjednodušene povedané sa im zapne oprávnenie – AdmPwdExtendedRights.
Kto má práva AdmPwdExtendedRights na určitú OU si vylistujeme napríklad cez powershell:
Nebudem mudrovať nad niečím, na čo nemám dostatočné teoretické vedomosti, takže spravím dve veci. Na teóriu Vás odkážem na stránku Microsoft-u, a prakticky to zhrňme asi takto. Ak z niekoho spravíte člena protekčnej skupiny v AD, čo sú skupiny(účty) – Account Operators, Administrators, Backup Operators, Domain Admins, Domain Controllers, Enterprise Admins, Krbtgt, Print Operators, Read-only Domain Controllers, Replicator, Schema Admins, Server Operators, nastaví sa mu AD atribút AdminCount na hodnotu 1.
To znamená, že ak tento účet sa považuje za chránený a vzťahujú sa naň isté zaujímavé pravidlá, niektoré z nich môžu prekvapiť, prípadne Vám ich pekne natrie bezpečnostný audit.
Pre skutočných adminov, je tento atribút samozrejme dôležitý, jeho problém sa týka takej drobnosti, že aj účet zakážete, alebo vyhodíte z privilegovanej skupiny, atribút admincount ostane na hodnote 1. Nezresetuje sa na nulu, hajzlík malý.
Riešením je napochodovať do AD, Attribute Editor a atribút jednoducho vy-clearovat. Cez powershell môžeme skúsiť: