Архив форумов ЦИТФорума

[Sol]

Ситуация примерно такая..
Имеется несколько компов под w2k и nt4 ..
Домен-контроллер сделан на самбе под freebsd ..
Заведены доменные юзеры, которые могут логинится на любом из компов домена.

Одному из заведённых в домене пользователей (с логином, например, userBad) необходимо запретить логинится на одном из компьютеров (good).

Что то у меня никак такая конструкция не работает..
Запихивание userBad в локальную группу Guest на компе good не помогает..
_________________
In My Humble Opinion

[and3008]

[Sol]

Имеется ввиду именно вход в систему !
Т.е. когда на компьютере good появляется окно для ввода логина, пароля и имени домена - пользователь userbad введя свои данные , должен получить отлуп!

Какое то у меня смутное подозрение, что так вообще нельзя сделать.. или всё же можно??
_________________
In My Humble Opinion

[and3008]

Отчего же нельзя? Стандартную процедуру блокировки учетной записи никто не отменял.

man smbpasswd. Там написано как блокироваль и деблокировать учетную запись.

Это половина дела. Windows надо настроить, чтобы пускал юзверя только после проверки его через домен. Однако делать это не рекомендую. В случае аварии домена все компы просто встанут и юзвери работать не смогут вообще.

[Sol]

Блокировка учетной записи - это понятно...
Но если учётка заблокирована, то тогда под ней нельзя входить с любого компа.. ( так ведь?)

Мне же нужно, что бы не могли под ней входить только с конкретного..

Фактически что происходит.. Пользователь на компе набирает логин-пароль.. Виндовс отправляет логин-пароль на самбу и проверяется наличие пользователя и правильность пароля..(упрощенно) И получается, что неважно с какого компа происходит логин..
_________________
In My Humble Opinion

[and3008]

На фига козе баян?
Какие цели ты преследуешь требуя такую фичу?

[4u3u]

Политики-то там есть, в самбе? "Deny logon locally" применить для компютера и делов-то...

[and3008]

"Deny logon locally" запретит логиниться этому юзверю на компе.
Ему сие не нужно. Ему нужно запретить вход в домен с конкретного компа конкретному юзверю.

Я не понимаю практического смысла этой затеи. Безопасность? Откуда! Ведь юзверь может сесть за другой комп.

Думаю это просто некая глупая прихоть. Объясните зачем вам нужен такой функционал и тогда я возможно подскажу как его осуществить по правильному.

[4u3u]

[Sol]

На всех компьютерах локальных учетных записей кроме как "Администратор" никаких нету..
Все учётные записи заведены на самбе...
Учетные записи пользователей занесены в доменную группу Domain Users, которая включена на компах в локальную группу Users.

Общую ситуацию описать трудно, но примерно это выглядит так:
Есть комната в которой стоит 2 десятка компов..
Компьютеры не принадлежат конкретным юзерам..
Заведено несколько общих учетных записей для юзеров (user1, user2, user3 и т.д.)

Юзер приходит, садится за свободный комп вводит сообщенный ему логин (например user1) и начинает работать..


Есть несколько компов на которых нежелательно что бы работали юзеры с логином например user1.
_________________
In My Humble Opinion

[Sol]

почему то я не вижу где устанавливается "Deny logon locally"
..
_________________
In My Humble Opinion

[4u3u]

В групповых политиках.
Создаешь политику, привязываешь ее к OU, содержащему нужный компьютер, фильтруешь, чтобы применялась только к этому компьютеру. Это в Windows :-)

[and3008]

В локальной политике безопасности компа говоришь кому запрещен локальный вход в систему.

В общем-то правильно подсказали уже.

Только это будет работать для WinNT 4.0 и выше. В win95/98/me этот фокус по моему не пройдет.

[4u3u]

[Sol]

На w2k всё замечательно получилось!

На Nt4 .. почему то не сработало...
Проверюсь ещё раз..
_________________
In My Humble Opinion