Reece's questions

Eu não tinha certeza se essa pergunta deveria ser feita aqui ou no Superusuário... Gostaria de alguma orientação para configurar um cenário de Área de Trabalho Remota para usuários de maneira confiável e econômica. Os fatores são:

• 5x funcionários frequentes que trabalham em casa ou fora do escritório
• 8x licenças do Windows 7 Enterprise disponíveis em nosso VLA
• Servidor MY 2008 IBM x3650 com 2 CPUs Xeon-4C, 8 GB de RAM, 5 unidades SAS de 300 GB em HW RAID-5 e uma única unidade SAS de 146 GB como um volume
• Uma nova licença OEM do Windows Server 2012 R2 Standard que foi adquirida para uso neste hardware (mas ainda não foi usada e não estou pensando em usar em outro lugar)
• Bloco IPv4 CIDR /27 de IPs públicos disponíveis
• Roteador de firewall de hardware com 4 zonas ethernet (confiáveis, não confiáveis, 'DMZ' para IPs públicos e sobressalentes)

Eu:

1. Instale a licença Server 2012 R2 Standard, junte-se ao domínio AD, configure o Windows RDS e Windows 7 Desktop Experience, configure a porta RDP e o IP público para todos os 5 usuários se conectarem a este servidor. Ou devo configurar VDIs para cada usuário? De qualquer forma, eu precisaria comprar RDS CALs para cada usuário
2. Instale o VMware ESXi HyperVisor gratuito e crie um convidado do Windows 7 (licenciado com as licenças VLA existentes), habilite a Conexão de Área de Trabalho Remota, configure para usuário e clone (x4). Configure o firewall para cada máquina para ter um dos 30 IPs públicos e a porta TCP aberta apropriada. Informe cada usuário sobre o IP e a porta de sua máquina para o cliente RDP

Posso ver prós e contras de ambos (especialmente quando se trata de $), mas qual é o melhor cenário em termos de gerenciamento de segurança, recursos e produtividade da equipe (com base na experiência do usuário e no desempenho do RDP)?

Não tenho certeza se isso deve ser perguntado aqui ou em security.stackexchange.com ...

Durante o longo fim de semana da Páscoa, um pequeno escritório nosso teve uma violação de rede em que uma impressora HP antiga foi usada para imprimir alguns documentos anti-semitas muito ofensivos. Parece ter acontecido com várias universidades em culturas ocidentais em todo o mundo .

De qualquer forma... Eu li que na verdade é uma falha de segurança bastante básica com a maioria das impressoras em rede. Algo a ver com a porta TCP 9100 e acesso à internet. Não consegui encontrar muitas informações sobre os detalhes de como, porque todos parecem muito preocupados com o porquê.

A configuração da rede é bastante simples para o escritório afetado. Possui 4 PCs, 2 impressoras em rede, um switch de 8 portas e um modem/roteador residencial rodando uma conexão ADSL2+ (com IP estático de internet e uma configuração bastante simples).
O ponto fraco está no modem/roteador ou na impressora?

Nunca considerei uma impressora como um risco de segurança que precisa ser configurado, portanto, em um esforço para proteger a rede deste escritório, gostaria de entender como as impressoras foram exploradas. Como posso parar ou bloquear o exploit? E verificar ou testar o exploit (ou bloquear o exploit corretamente) em nossos outros escritórios muito maiores?

Em uma tentativa de desinstalar o Exchange 2010, removi algumas caixas de correio (antes de remover os bancos de dados), mas, ao fazer isso, parece que removi a conta de administração do AD - chamada sbsadmin.
Surpreende-me que a remoção de uma caixa de correio exclua a conta de usuário do AD, mas, mesmo assim, não tenho como fazer login no servidor após uma reinicialização. A conta interna do administrador está desativada e não há nenhuma outra conta de usuário local ou AD.

Eu tentei usar o Offline NT Password Editor e mesmo que ele tenha passado pelos movimentos e "desbloqueado" e "habilitado" a conta do administrador e "apagado" a senha, ainda não consigo fazer login com ele.

Quais opções eu tenho para fazer login?

Para encurtar a história, eu tinha um DC funcionando perfeitamente, mas estava na avaliação padrão do Server 2012 R2. Para mudar de Eval. para Full, tive que criar um 2º servidor DC, transferir Operational Masters, rebaixar o servidor DC original, remover ADDS, converter a licença para Full, ativar, reinstalar ADDS, Promover Server e transferir FSMO's de volta.

Tudo funcionou sem problemas até a promoção do servidor DC...

quando eu tento dá o erro

Um controlador de domínio do Active Directory para o domínio "contoso" não pôde ser contatado. Certifique-se de ter o nome de domínio DNS correto.

Estou usando as credenciais corretas, nome de domínio, etc., mas o mesmo procedimento que segui para adicionar o segundo servidor DC anteriormente agora não está funcionando para adicionar o DC original de volta. Cheguei ao ponto de remover as funções DNS do servidor e apontar o DNS primário para o servidor DC temporário, mas isso não ajudou.

O que eu faço?

Estou em uma situação incomum, pois não há conta que eu possa usar para adicionar direitos de administrador local a um computador, com exceção da conta de administrador - que está desativada.

Em um novo domínio que estou configurando, criei um GPO para tentar tornar o usuário conectado (e outros) um administrador local adicionando o grupo de domínio ao grupo LOCALCOMPUTER\Administrators. Eu segui este guia http://richardstk.com/2013/11/26/adding-domain-users-to-the-local-administrators-group-using-group-policy/ e usei grupos que contêm usuários.

O GPO deve ter funcionado até certo ponto porque removeu todos do grupo Administradores, exceto o Administrador. Mas como essa conta está bloqueada, posso usá-la para fazer login e definir a outra conta local ou qualquer conta de domínio.

Como faço para desbloquear a conta de administrador sem ser um administrador local? Ou, como posso restaurar outro administrador local ou conta de domínio para o grupo Administradores?

Eu tentei os métodos GUI e CMD sem sucesso: