| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
 Добавлено: Чт Фев 10 2005 08:02 Заголовок сообщения: Запрет пользования доменными ресурсами...... |
 |
|
как известно если у тебя есть аккаунт в AD, то ты можешь с любого компа (даже с того который не в домене) зайти на доменный ресурс с етим аккаунтом и нормально его юзать.....
Цель - запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен.....
есть варианты? |
|
| Вернуться к началу |
|
 |
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Чт Фев 10 2005 09:22 Заголовок сообщения: |
|
|
Есть, конечно. Для того, чтобы запретить подключение к доменным ресурсам с недоменных компьютеров, можно использовать IPSec:
Принцип:
http://www.microsoft.com/technet/archive/community/columns/security/askus/aus1201.mspx
Как MS сделала это в своей сети:
http://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx
Это, конечно, не избавит от ситуации, когда пользователи логинятся на доменных компьютерах, но используя локальные учетные записи, уходя таким образом от ограничений, накладываемых политиками на доменных пользователей. Но это уже проблема скорее организационного плана, а не технического. |
|
| Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
| Добавлено: Чт Фев 10 2005 10:08 Заголовок сообщения: |
|
|
| Как вариант поройся в Групповых политиках. |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Чт Фев 10 2005 10:11 Заголовок сообщения: |
|
|
| А поточнее? |
|
| Вернуться к началу |
|
|
mirniy
Зарегистрирован: 16.04.2004
Сообщения: 270
|
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Чт Фев 10 2005 10:35 Заголовок сообщения: |
|
|
| Нет подобных политик, в том-то и проблема. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Чт Фев 10 2005 11:12 Заголовок сообщения: |
|
|
| 4u3u писал(а): |
Это, конечно, не избавит от ситуации, когда пользователи логинятся на доменных компьютерах, но используя локальные учетные записи, уходя таким образом от ограничений, накладываемых политиками на доменных пользователей. Но это уже проблема скорее организационного плана, а не технического. |
когда пользователи логинятся на доменных компьютерах под локальными учетками, к ним таки применяются ГП копьютера. можно танцевать от этого |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Чт Фев 10 2005 12:58 Заголовок сообщения: |
|
|
| Да, конечно, но всё же все политики в компьютерную часть не перенесешь... |
|
| Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004
Сообщения: 114
|
| Добавлено: Пт Фев 11 2005 11:07 Заголовок сообщения: |
|
|
| Цитата: | | запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен..... |
объясните мне пожалуйста,как юзеры не прошедшие аутентификацию
могут работать с доменными ресурсами?
Сразу возникает несколько вопросов: 1.Как пользователи проходят авторизацию
2.Какие разрешения даны на доменные ресурсы
(и что вы под domain resources понимаете)
3.Что означает фраза - локально! на компьютере залогиниться в домен
у вас домен есть или нет? Или у вас workgroup?
что за пользователи такие,которые имеют везде доступ
(ответ Администраторы не подойдет  )
_________________
читаем мануалы и делаем бэкапы! |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Пт Фев 11 2005 12:43 Заголовок сообщения: |
|
|
| обьясняю. каждый компьютер NT/2000 имеет учетную запись в домене. эта запись, как и учетка пользователя, может быть использована для аутентификации при доступе к ресурсам. |
|
| Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004
Сообщения: 114
|
| Добавлено: Пт Фев 11 2005 13:30 Заголовок сообщения: |
|
|
| Цитата: | | обьясняю. каждый компьютер NT/2000 имеет учетную запись в домене. эта запись, как и учетка пользователя, может быть использована для аутентификации при доступе к ресурсам. |
squirl,вы что издеваетесь?
Я вопрос задавал автору топика.
Смешать в кучу все понятия и толком не объяснив что в итоге хотят получить и свалить отсюда это проще некуда. В следующий раз я думаю посты ARkov'a будут проигнорированы.
_________________
читаем мануалы и делаем бэкапы! |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Пт Фев 11 2005 14:05 Заголовок сообщения: |
|
|
| watcher писал(а): | объясните мне пожалуйста,как юзеры не прошедшие аутентификацию
могут работать с доменными ресурсами? |
очень просто, юзер залогинился на свой локальный компутер а сетевой диск (на который доступ имеют только пользователи домена) может подцепить под своим доменным аккаунтом.....
| watcher писал(а): | | Сразу возникает несколько вопросов: 1.Как пользователи проходят авторизацию |
вот тут мне уже непонятно, что вам непонятно.........
в каком смысле как они её проходят?
любой юзер может залогиниться как на свой локальный компутер так и в домен.....
что непонятного?
| watcher писал(а): | 2.Какие разрешения даны на доменные ресурсы
(и что вы под domain resources понимаете) |
а при чём здесь ето?
я конкретную задачу поставил
"запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен....."
что ещё не ясно?
| watcher писал(а): | 3.Что означает фраза - локально! на компьютере залогиниться в домен
у вас домен есть или нет? Или у вас workgroup? |
насчёт етого уже ответил выше, даже если компутер введён в домен юзер на нём может в домен и не логиниться....
или вы етого не знали?
ну если не принимать во внимание того что можно настроить запрет на логин определённого юзера локально
| watcher писал(а): | что за пользователи такие,которые имеют везде доступ
(ответ Администраторы не подойдет ) |
а ето к чему я совсем не соображу........
ну мне уже ващето запостили две ссылки, очень полезные кстати
спасибо 4u3u, буду копать...... |
|
| Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004
Сообщения: 114
|
| Добавлено: Пт Фев 11 2005 14:32 Заголовок сообщения: |
|
|
"запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен....." отойдем от терминологии
из ваших слов : "как запретить клиентам в банке снимать деньги со счетов,если они не являются клиентами этого банка "
как вы думаете если пользователь не прошел авторизацию и не получил подтверждение о том что доступ разрешен,учетная запись проверена, сможет ли он получить доступ к ресурсам?
_________________
читаем мануалы и делаем бэкапы! |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Пт Фев 11 2005 14:45 Заголовок сообщения: |
|
|
| watcher писал(а): | "запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен....." отойдем от терминологии
из ваших слов : "как запретить клиентам в банке снимать деньги со счетов,если они не являются клиентами этого банка "
как вы думаете если пользователь не прошел авторизацию и не получил подтверждение о том что доступ разрешен,учетная запись проверена, сможет ли он получить доступ к ресурсам? |
абсолютно неверное сравнение, скорее нужно было так - "как запретить клиентам банка снимать деньги со счетов в етом банке находясь за пределами его здания".......
ну что ещё не ясно то? |
|
| Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004
Сообщения: 114
|
| Добавлено: Пт Фев 11 2005 15:06 Заголовок сообщения: |
|
|
firewall,ipsec
мать-перемать точнее мысли излагайте.
_________________
читаем мануалы и делаем бэкапы! |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Пт Фев 11 2005 15:08 Заголовок сообщения: |
|
|
watcher, я согласен, что терминология хромает, но в данном случае мне лично вопрос был понятен. Если он все еще непонятен вам, я попробую его переформулировать.
Arkov пытается найти противоядие против 2 сценариев:
1. Есть компьютер, не входящий в домен, но подключенный к доменной сети и пользователи, знающие пароль от какой-либо учетной записи на этом компьютере. Так как компьютер не входит в домен, на него не распространяются доменные политики и доменные администраторы не могут управлять этим компьютером и обеспечивать его защищенность, а так же соответствие его настроек политикам безопасности. Но тем не менее пользователи с этого компьютера могут получать доступ к доменным ресурсам, используя для этого доменные учетные записи (net use \\server\share /user:DOMAIN\username * и т.п.)
2. Пользователю известен пароль от какой-либо локальной учетной записи на доменном компьютере. Логинясь под этой учетной записью, пользователь обходит политики, наложенные на доменный учетные записи пользователей, и тем не менее может получить доступ к доменным ресурсам тем же способом, что и в п.1 |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Пт Фев 11 2005 15:12 Заголовок сообщения: |
|
|
| watcher писал(а): | firewall,ipsec
мать-перемать точнее мысли излагайте. |
IPSEC решает ету проблему насколько я понял из документов,
а при чём здесь фаервол? всё нужно организовать в локальной сети.. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Пт Фев 11 2005 15:33 Заголовок сообщения: |
|
|
| 4u3u писал(а): | watcher, я согласен, что терминология хромает, но в данном случае мне лично вопрос был понятен. Если он все еще непонятен вам, я попробую его переформулировать.
Arkov пытается найти противоядие против 2 сценариев:
1. Есть компьютер, не входящий в домен, но подключенный к доменной сети и пользователи, знающие пароль от какой-либо учетной записи на этом компьютере. Так как компьютер не входит в домен, на него не распространяются доменные политики и доменные администраторы не могут управлять этим компьютером и обеспечивать его защищенность, а так же соответствие его настроек политикам безопасности. Но тем не менее пользователи с этого компьютера могут получать доступ к доменным ресурсам, используя для этого доменные учетные записи (net use \\server\share /user:DOMAIN\username * и т.п.)
2. Пользователю известен пароль от какой-либо локальной учетной записи на доменном компьютере. Логинясь под этой учетной записью, пользователь обходит политики, наложенные на доменный учетные записи пользователей, и тем не менее может получить доступ к доменным ресурсам тем же способом, что и в п.1 |
для 1 случая, можно в разрешениях на расшареный ресурс разграничивать права не по пользователям, а по компьютерам. загнать компы домена в одну группу, и дать доступ им. должно по идее проканать... т. е. если человек логинится с компа, не входящего в домен - у него фиг что получиться. даже если он имеет логи и пароль. для 2 го случая, повторюсь, надо продумать грамотнее ГП касающиеся компьютера. их доменной машине обойти нельзя |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Пт Фев 11 2005 15:44 Заголовок сообщения: |
|
|
| squirL писал(а): | | для 1 случая, можно в разрешениях на расшареный ресурс разграничивать права не по пользователям, а по компьютерам. загнать компы домена в одну группу, и дать доступ им. должно по идее проканать... т. е. если человек логинится с компа, не входящего в домен - у него фиг что получиться. даже если он имеет логи и пароль. |
Неа. Если дать доступ только учетным записям компьютеров, то у пользователей доступа не будет. Если добавить пользователей, то они будут именть доступ вне зависимости от того, с какого компьютера они обращаются к ресурсу.
| Цитата: | | для 2 го случая, повторюсь, надо продумать грамотнее ГП касающиеся компьютера. их доменной машине обойти нельзя |
Я же говорю, львиная доля пользовтаельских политик присутствует только в разделе User Configuration GPO. И потом, как быть, если мне нужно применить разные пользовательские политики к разным группам пользователей и при этом у меня нет четкого сопоставления компьютер <--> пользователь? |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Пт Фев 11 2005 15:49 Заголовок сообщения: |
|
|
| 4u3u писал(а): | Неа. Если дать доступ только учетным записям компьютеров, то у пользователей доступа не будет. Если добавить пользователей, то они будут именть доступ вне зависимости от того, с какого компьютера они обращаются к ресурсу.
...
Я же говорю, львиная доля пользовтаельских политик присутствует только в разделе User Configuration GPO. И потом, как быть, если мне нужно применить разные пользовательские политики к разным группам пользователей и при этом у меня нет четкого сопоставления компьютер <--> пользователь? |
спорить не буду, потому что не пробовал... хотя странно - зачем тогда присутствует возможность добавлять учетные записи компьютеров в ACL ресурсов?
что до ГП, тут вы правы, эт" я погорячился с компьютерными политиками. |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Пт Фев 11 2005 16:36 Заголовок сообщения: |
|
|
| squirL писал(а): | | спорить не буду, потому что не пробовал... |
так попробуйте :)
| Цитата: | | хотя странно - зачем тогда присутствует возможность добавлять учетные записи компьютеров в ACL ресурсов? |
Вы наверное не очень четко представляете себе, как происходит авторизация.
Любой процесс работает в определенном контексте безопасности. другими словами, от имени определенной учетной записи. Так, многие сервисы работают от имени SYSTEM, то есть в случае домена, от имени доменной учетной записи компьютера. С другой стороны, оболочка (рабочий стол и т.д.), и запускаемые пользователем программы работают в контексте безопасности учетной записи пользователя. Улавливаете куда я гну? Когда процесс запрашивает доступ к удаленному ресурсу, он передает авторизационные данные своего контекста безопасности.
Скажем, при выполнении startup скрипта доступ к файлу скрипта должен быть открыт по крайней мере для учетных записей компьютеров, потому как они выполняются в контексте SYSTEM. С другой стороны, когда пользователь кликает в експлорере на сетевой папке, не имеет значения, на каком компьютере запущен этот эксплорер. Единственное, что имеет значение - это от имени какой учетной записи он запущен. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Пт Фев 11 2005 18:56 Заголовок сообщения: |
|
|
| 4u3u писал(а): | | squirL писал(а): | | спорить не буду, потому что не пробовал... |
так попробуйте :)
| Цитата: | | хотя странно - зачем тогда присутствует возможность добавлять учетные записи компьютеров в ACL ресурсов? |
Вы наверное не очень четко представляете себе, как происходит авторизация.
...
многие сервисы работают от имени SYSTEM, то есть в случае домена, от имени доменной учетной записи компьютера |
ваша правда... об этом я не подумал, спасибо, ткнули в RTFM :) |
|
| Вернуться к началу |
|
|
Petr Poleshko
Зарегистрирован: 15.02.2005
Сообщения: 9
Откуда: Rostov-on-Don
|
| Добавлено: Вт Фев 15 2005 19:30 Заголовок сообщения: Re: Запрет пользования доменными ресурсами...... |
|
|
Доброго времени суток всем!
| Arkov писал(а): | как известно если у тебя есть аккаунт в AD, то ты можешь с любого компа (даже с того который не в домене) зайти на доменный ресурс с етим аккаунтом и нормально его юзать.....
Цель - запретить юзерам пользоваться доменными ресурсами если локально на компутере они не залогинились в домен.....
есть варианты? |
 Честно говоря дебаты по этому поводу разошлись не на шутку.
А давайте рассмотрим вот что:
1. Компьютеры (в сетевом плане) бывают: 1 - локальная рабочая станция в составе (или нет) рабочей группы. 2 - Доменная рабочая станция в составе домена. 3 - Рядовой сервер. 4 - Контроллеры домена.
Дальше...
Когда комп является 1-м - то он видит все машины в сети (не зависимо от того какая у них роль) как 1-й тип станций. И проверка осуществляется в локальной базе данных. Если LOGON_NAME и LOGON_PASSWORD совпали - значит все хорошо иначе никак.
по теме: следовательно когда на недоменной рабочей станции пользователь пытается достучаться до сетевого ресурса домена, то все что нужно - так это весьти правильное имя и пароль, иначе - БОЛТ. Запретить это можно... Ну, например, в настройках политики безопасности контроллеров домена установить доступ к компьютеру только для ПРОШЕДШИХ ПРОВЕРКУ...
2. Когда доменная рабочая станция пытается достучаться до ресурса на локальной машине - происходит проверка в ЛОКАЛЬНОЙ БАЗЕ ДАННЫХ безопасности имени пользователя и пароля и менно той машины куда стучатся.
Продолжение следует!?
_________________
With the best and kind regards,
Petr Poleshko. |
|
| Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003
Сообщения: 997
Откуда: Moscow
|
| Добавлено: Вт Фев 15 2005 22:12 Заголовок сообщения: Re: Запрет пользования доменными ресурсами...... |
|
|
| Petr Poleshko писал(а): | Запретить это можно... Ну, например, в настройках политики безопасности контроллеров домена установить доступ к компьютеру только для ПРОШЕДШИХ ПРОВЕРКУ...
|
Поподробней, пожалуйста.
Нет никаких политик, при помощи которых можно запретить доступ к доменным ресурсам с компьютеров вне домена. Не-ту. Ну, если не считать политик IPSec.
Под ПРОШЕДШИМИ ПРОВЕРКУ вы, видимо, имели в виду динамическую группу Authenticated Users?..
| Цитата: | | 2. Когда доменная рабочая станция пытается достучаться до ресурса на локальной машине |
Под вторым случаем мы имели в виду не эту ситуацию. К тому же, непонятна формулировка "рабочая станция пытается достучаться ". Обычно пытается достучаться пользователь, то есть процесс, запущенный от его имени, а не рабочая станция. Или я не совсем понял что в данном контексте имелось в виду под рабочей станцией.
| Цитата: | | Продолжение следует!? |
Видимо, да. |
|
| Вернуться к началу |
|
|
Nicola
Зарегистрирован: 20.12.2003
Сообщения: 606
|
| Добавлено: Ср Фев 16 2005 08:42 Заголовок сообщения: |
|
|
| Народ, подумайте вот о чём: А если в сети присутствуют машины под управлением *никсов? Как быть этим машинам? Настроил IPSec и скорее всего они вылетят. Данная дырень я думаю открыта именно из-за желания получить совместимость сетей с другими осями. |
|
| Вернуться к началу |
|
|
squirL
Зарегистрирован: 05.01.2005
Сообщения: 371
Откуда: Одесса
|
| Добавлено: Ср Фев 16 2005 10:11 Заголовок сообщения: |
|
|
| IPSec - не чисто виндовая придумка. и машины с *nix вполне можно настроить на использование IPSec |
|
| Вернуться к началу |
|
|
Petr Poleshko
Зарегистрирован: 15.02.2005
Сообщения: 9
Откуда: Rostov-on-Don
|
| Добавлено: Ср Фев 16 2005 13:42 Заголовок сообщения: |
|
|
Доброго времени суток!!!
Ну во-первых: если кто-то решил обойтись только теорией - значит ему в этом форуме не место 
Во-вторых: что было проделано:
Есть ноутбук не в домене, пользователь Иван - администратор компьютера.
Есть файловый сервер- он же контроллер домена. На нем есть учетная запись Иван, который принадлежит группе Domain Admins - в общем к администраторам домена.
В нормальном режиме Иван имеет полный Административный доступ ко всем ресурсам, т.к. будучи не в домене, происходит полное совпадение учетной записи и пароля на ноутбуке и в базе безопасности Active Directory.
Дальше... Как только я заблокировал доменую учетную запись, Иван перестал иметь доступ к серверу.
Этого нужно было добиться или...
Продолжение следует!?
_________________
With the best and kind regards,
Petr Poleshko. |
|
| Вернуться к началу |
|
|
Arkov
Зарегистрирован: 01.11.2002
Сообщения: 622
|
| Добавлено: Ср Фев 16 2005 13:57 Заголовок сообщения: |
|
|
| Petr Poleshko писал(а): | Доброго времени суток!!!
Ну во-первых: если кто-то решил обойтись только теорией - значит ему в этом форуме не место
Во-вторых: что было проделано:
Есть ноутбук не в домене, пользователь Иван - администратор компьютера.
Есть файловый сервер- он же контроллер домена. На нем есть учетная запись Иван, который принадлежит группе Domain Admins - в общем к администраторам домена.
В нормальном режиме Иван имеет полный Административный доступ ко всем ресурсам, т.к. будучи не в домене, происходит полное совпадение учетной записи и пароля на ноутбуке и в базе безопасности Active Directory.
Дальше... Как только я заблокировал доменую учетную запись, Иван перестал иметь доступ к серверу.
Этого нужно было добиться или...
Продолжение следует!? |
ты просто какието сказки рассказываешь, не может локальный юзер компа (даже при совпадении имени его и пароля с доменным аккаунтом) иметь доступ к ресурсам доменным (если для него они не даны), не может етого быть по той простой причине, что Windows "видит" не имя юзера как таковое, а его UID который генерируется случайным образом и возможность совпадения етих UID равна практически нулю.......... так что, извиняйте.........
сказочник вы однако..... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
