Архив форумов ЦИТФорума

[DSN]

Как в Win XP отключить теоритическую возможность получения общего доступа к ресурсам со значком $ ???
Например C$ D$ IPC$ ADMIN$
Чем может грозить их отключение и как это сделать ?
Компьютер входит в домен.

[And]

Дело в том что это стандартные ресурсы для администрирования и доступ к ним имеет только админ. Если действительно хочешь отключить то вот лекарство:
Запускаешь REGEDIT, заходишь в HLKM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
Добавь параметр REG_DWORD с названием:
для SERVER-AutoShareServer
для WKS-AutoShareWks
со значением 0.
Для тебя ничего не изменится. Но админ может себе все обратно вернуть. И поругать чтоб в реестр не лазил или отрубить доступ к нему

[DSN]

Пример, раз он мне полный доступ к папке на сервере открыл, так я себя сделал ее владельцем и запретил ему туда лазить... долго он соображал что владелец не он и поэтому зайти в нее на сервере локально не мог )

А удаленный доступ к реестру я откл службу. Так что врядли он что сделает...

[Алекс]

...не знаю, чем грозят такие настройки компьютеру, входящему в домен, но еще можно отключить такую службу, как "сервер".
Удачи!

[DSN]

Plug & Play отключить)) чтоб по мелочам не мучаться.

[ALEX_SE]

Меня всегда добивала подобная смелость заявлений в отношении админа домена со стороны пользователя компа домена... Есть куча способов обойти твои жалкие ограничения... Кроме того подобное творчество это попытка самоуправства в сети.

Пример - недавно несколько ребят сломали локальные пароли админов (воспользовались загрузочной дискетой), добавили туда себя, а мне типа доступ закрыли. Через 15 минут все их компы были вскрыты по сетке, и я все исправил как надо. Но есть одно но - это действие попадает под статью... И сейчас решается вопрос что делать дальше. Думаю придется им заплатить и хорошо... по УК штраф до 800 МРОТ. А административная ответственность не катит - они не руководители. Это тебе надо?

Сделал что-то админ - согласись так как он админ. У него есть своя работа. Он так же выполняет свои должностные обязанности, не зависимо согласен ты с ними или нет...

[DSN]

Когда Админ не выполняет своих обязанностей ссылаясь на занятость, при этом играет в игрушки по сети, такого админа и попинать не жалко. Кстати говоря пальцы растапыривать он умеет, а вот знаний что то сделать нет. По этому я не сомневаюсь что у него не хватит ума залезть в мой комп по сетке. К тому же можно настроить файрвол, в крайнем случае я всегда найду время изучить чертовы форточки и найду способ обломать админа. Но цель моя была в другом, у нас на мелкой фирме несколько другая политика в отношении юзеров и мне не хотелось бы чтоб из кучи народу имеющих права админа кто-то из них лазил по моим личным папкам и файлам, тем более что в компе утановлен еще и мой винчестер. Кстати Админ по моему должен создавать удобство в работе на компах а не считать себя царем(диктатором) сети, каковыми большинство админов себя считают по моему мнению.

[ALEX_SE]

1. Не твое дело решать выполняет или не выполняет он обязанностей - ты их просто знать не можешь Обратись к руководству если считаешь что он не прав.
2. Ума у него если и не хватит, то он может спросить помощи )
3. А тебе кто-то разрешил ставить файрвол?
4. Обломать админа ты не сможешь.
5. Куча народу имеющих права админа - это как??? Пожалуйся на это шефу, так как это бардак.
6. На работе у тебя нет личных папок и файлов. Это все принадлежит конторе. Как и твои личный винт без разрешения установленный на компе.
7. Админ должен не создавать удобство, это чушь, он должен осуществлять корпоративную политику целью которой является работоспособность сети и серверов с определенной бесперебойностью и требованиями безопасности.
8. На счет царей - я не буду спорить, ты этого не поймешь. Ты сам сказал что не знаешь чертовы форточки, но уже обсуждаешь админа. Юзеру безопасность пофиг по определению. И то что админу может казаться (причем правильно) вопиющим нарушением безопасности, юзеру будет казаться простыми придирками со стороны админа.

И вообще. Давай так - у вас в конторе есть какой-нить документ, где написано что можно а что нет, как все должно работать, и настраиваться?

[DSN]

1) Если действия админа мешают зарабатывать деньги, это уже мое дело. Руководство у нас очень субъективно, у нас нет корпоративного деления.
2) Пусть просит, я всегда могу на самом низком уровне в сети ему противодействовать, не зря же я изучал Ethernet IP TCP ICM UDP протоколы на низком уровне, хоть и немного но всегда могу пополнить свои знания.
3) Я сам себе хозяин на своем компе, одно время у меня вообще свой комп стоял, мне так было проще. У нас нет жесткой вертикали подчинения, каждый занимается своим проектом.
4) Почему ? где аргументы ? Почему он не мог зайти ко мне в расшареную папку в которую могли все зайти у кого не было прав админа ?) могу рассказать?, думаю догадаешься ...
5) Есть у нас группа програмеров, т.к. админ на работе иногда не появляется, а за сеткой следить надо, вот они себе прав админов и понаставили.
6) У нас есть, т.к. фирма не предоставляет мне средства разработки и документацию , то я добываю это своими силами в том числе из инета.
7) Надзиратели пусть в тюрме надзирают, а мне для улучшения производительности нужно удобство, приказами меня работать не заставить.
Да я не знаю как их настраивать, но программировать я еще не разучился.

9) У нас даже ТЗ на проекты нет, все на словах, из-за чего постоянно возникают проблемы.

Почему я плохо отношусь к админу, пример: Пропадает инет или сервер, я иду к админу узнать в чем дело, на мой вопрос он делает удивленное лицо и отвечает таким тоном что меня это вообще не должно кастся и это не мое дело. Вообщем правды от него никогда не получить если не подлизываться и не пить с ним водку.

[ALEX_SE]

Понятно... В общем я не согласен и с тобой (у меня были подобные герои но быстро их поставили в нужное положение), и с твоим руководством. Так как информтехнологиям не относятся.

Что до программеров - как они себе могли понаставить прав админов? Что это вообще за кретинизм? У меня например даже на моей учетке прав админа нет, не говоря уж о программерах которых к серверам не пускают вообще и им нельзя входить в серверную.

На счет аргументов - а зачем они? Админ (грамотный) он царь и бог в домене. Еще раз говорю - обмануть ты его сможешь только отключив комп от сети. Пока же твой комп член домена, пока твоя учетка в его распоряжении, пока есть групповые политики и (в крайнем случае) не в жизни не закрываемые юзерами уязвимости (что говорит о плохой работе админа), пока есть сканеры безопасности - обмануть ты его не сможешь!

Но опять же - все надо документировать.

У меня например - локальные права админа на компах у юзеров - табу!
Установка самостоятельная ПО - тоже!

Расшаривание папок или тем более установка модемов - попытка грубейшего нарушения безопасности, за что следуют административные (а иногда и более жесткие) меры. И всем спокойно.

[DSN]

Повторю, у вас в фирме другая организация труда, отсюда и различия.

А на счет прав админов у программеров, так они просто на серваке прописани в группе администраторов, а почему так получилось, потому что бардак.

У вас админ может и царь, у нас больше на лоха распальцованного похож.

На счет ПО, представь себе, что мне для того чтоб установить какую-то среду для разработки придется к тебе ходить, а ведь иногда мне это раз по 10 на день делать приходится, а на фирме не я один такой...
Что ты делать будешь ? вервку с мылом готовить или фигаро здесь, фигаро там превратишься ? )
А ведь отказ повлечет жалобу к начальству на невозможность работать в таких условиях. Так что придется на счет локальных политик права то ослабить. Одно дело когда компьютео нужен для узко спец задачи и все, а когда он сегодня для одного, а завтра для другого итд... что делать ???

Так что не стоит все сетки и всех юзеров под одну гребенку.

[ALEX_SE]

[DSN]

Наивный ты админ как я погляжу.
Вот скажи кто деньги фирме зарабатывает ты или те кто работает ?
Админ нужен для того чтоб юзеры не задумывались и не отвлекались на проблемы настройки и общения с компом а не для того чтоб плясать под твою дудку.

[Алекс]

А то мне приходят уведомления об ответе по теме, а я в ней уже и не участвую!
У вас получается, как в старом анекдоте про двух спорящих евреях и раввине. Он им говорит:"И ты прав, и ты прав!" ("Р" - картавое)ALEX_SE прав, когда говорит, что админ - царь и Бог, что на работе надо работать и т.д.
DSN прав, когда говорит, что админ все-таки должен создавать удобства работы юзерам (разумеется, если это не идет в разрез с правилами, безопасностью т.д., и если это записано в его должностных обязанностях).
НО! Деньги для фирмы зарабатывают оба! Только по-разному. С юзерами все понятно - у них своя работа. А работу админа практически никто не видит. Нормальная работа сети - бесперебойный трудовой процесс - контора зарабатывает. Отсечение нежелательного трафика - экономия средств - контора зарабатывает. Можно и продолжить...
Пусть все делают, как им удобно - к консенсусу все равно не прийти! Только пусть каждый пеняет на себя.
Удачи!

[ALEX_SE]

А я проще скажу - в данном случае деньги конторе зарабатывает именно админ, так как юзер занимаясь извращением над компом вместо занятия работой денег не зарабатывает в это время - ведь занимается не своей работой

[mare]

Если у тебя такие проблемы, связанные с невыполнением администратором функций безопасности, и считаешь, что можешь справиться без администратора - не входи в домен.
А если нужны общие папки на сервере - попроси того же нерадивого администратора просто их "расшарить" лично для тебя, дав для этого специальный пароль.

Помни - если компьютер в домене, то это уже не твой компьютер, а рабочая станция сети, где администратор - царь и бог.
Ты просто никаким способом не сможешь защититься от администратора домена, а все твои ухищрения - временная дилетантская мера, действующая до того, как администратор в отношении тебя не изменит политику. И применять ее он может (и будет!) при каждом входе твоей рабочей станции в домен, а тебе при каждом этом входе будет снимать полномочия локального админа, чтобы "не рыпался".
Это обуславливается идеологией построения сети на базе виндовс.

Пойми, попытка обмануть админа - даром потраченное время, оборачивающееся в лучшем случае отказом во входе в домен, а в худшем - уголовная ответственность в соответствии с Законами РФ.

Лучше наладь с админом нормальные отношения и не считай его идиотом. Админ - это тоже Человек.

[ALEX_SE]

Про что и я.
Я лично стараюсь нормальными методами решать. А вот кто пытается проявить самоуправство уже отбиваются от юристов которые наезжают со статьей "неправомерный доступ к компьютерной и6нформации" и "нарушение целостности системы ПЭВМ и их сети". Юзера будут работать как им скажут... Я понимаю что не трудно сломать локальный пароль, но когда мне та же retina покажет юзера в группе админов - это уголовное преступление.

[DSN]

Хочу сразу сказать что еслиб у нас был бы админ с такими амбициями на фирме, то его в лучшем случае уволили, а в худшем он бы светил фингалами... Т.к. мешать работать так как нам удобно, ни кто ему не даст.

А теперь о маразме. Может вспомним историю создания доменной архитектуры и зачем ее создали ? Изначально форточки были одноранговой сеткой и администрить ее был большой гемор, особенно если много компов. Для этого создали домен в котором права раздаются из одного места и благодаря этому повысилась безопасность сети. А у вас получается как то раком, может вы себя директорами фирм считаете ? не забывайте для чего изначально появился админ, для удобства юзеров, для того чтоб они не думали как и что надо настраивать а только работали над своими задачами.

Вот и мне домен нужен был только для того чтоб иметь доступ к нужным папкам на сервере, т.к. админа что то сделать уговорить сложно, то я попросил его вкл мой комп в домен, чего мог бы и не делать! А т.к. безопасность моего компа может пострадать от действий админа (например вирусы на сервере) то я решил заткнуть те дыры какие возможно.

Дальнейшее обсуждение и обсасывание данной темы не считаю нужным, я свое мнение не изменю, и вы свои тоже.

[Алекс]

[ALEX_SE]

Господи ну и маразм. Лично я жалею того админа, у которого такие юзеры... Попробовал бы мой юзер такого выдать....... Пробовали вернее но сильно плохо кончилось, сейчас все спокойно.