Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Июл 08 2005 13:03 Заголовок сообщения: Как запретить логинится доменному пользователю? |
|
|
Ситуация примерно такая..
Имеется несколько компов под w2k и nt4 ..
Домен-контроллер сделан на самбе под freebsd ..
Заведены доменные юзеры, которые могут логинится на любом из компов домена.
Одному из заведённых в домене пользователей (с логином, например, userBad) необходимо запретить логинится на одном из компьютеров (good).
Что то у меня никак такая конструкция не работает..
Запихивание userBad в локальную группу Guest на компе good не помогает.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Июл 08 2005 20:22 Заголовок сообщения: |
|
|
Цитата: | необходимо запретить логинится на одном из компьютеров |
Поясните что вы под этим понимаете. Многие часто путают возможность логина на сервере (проверка полномочий пользователя на конкретном сервере) и использование ресурсов сервера (доступ е общим папкам). |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пн Июл 11 2005 06:48 Заголовок сообщения: |
|
|
Имеется ввиду именно вход в систему !
Т.е. когда на компьютере good появляется окно для ввода логина, пароля и имени домена - пользователь userbad введя свои данные , должен получить отлуп!
Какое то у меня смутное подозрение, что так вообще нельзя сделать.. или всё же можно?? _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Июл 11 2005 07:13 Заголовок сообщения: |
|
|
Отчего же нельзя? Стандартную процедуру блокировки учетной записи никто не отменял.
man smbpasswd. Там написано как блокироваль и деблокировать учетную запись.
Это половина дела. Windows надо настроить, чтобы пускал юзверя только после проверки его через домен. Однако делать это не рекомендую. В случае аварии домена все компы просто встанут и юзвери работать не смогут вообще. |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пн Июл 11 2005 11:10 Заголовок сообщения: |
|
|
Блокировка учетной записи - это понятно...
Но если учётка заблокирована, то тогда под ней нельзя входить с любого компа.. ( так ведь?)
Мне же нужно, что бы не могли под ней входить только с конкретного..
Фактически что происходит.. Пользователь на компе набирает логин-пароль.. Виндовс отправляет логин-пароль на самбу и проверяется наличие пользователя и правильность пароля..(упрощенно) И получается, что неважно с какого компа происходит логин.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Июл 11 2005 21:29 Заголовок сообщения: |
|
|
На фига козе баян?
Какие цели ты преследуешь требуя такую фичу? |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Пн Июл 11 2005 23:04 Заголовок сообщения: |
|
|
Политики-то там есть, в самбе? "Deny logon locally" применить для компютера и делов-то... |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Июл 11 2005 23:54 Заголовок сообщения: |
|
|
"Deny logon locally" запретит логиниться этому юзверю на компе.
Ему сие не нужно. Ему нужно запретить вход в домен с конкретного компа конкретному юзверю.
Я не понимаю практического смысла этой затеи. Безопасность? Откуда! Ведь юзверь может сесть за другой комп.
Думаю это просто некая глупая прихоть. Объясните зачем вам нужен такой функционал и тогда я возможно подскажу как его осуществить по правильному. |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Вт Июл 12 2005 00:30 Заголовок сообщения: |
|
|
Цитата: | "Deny logon locally" запретит логиниться этому юзверю на компе.
Ему сие не нужно. Ему нужно запретить вход в домен с конкретного компа конкретному юзверю.
|
"Deny logon locally" запретит указанным в политике пользователям/группам (локальным или доменным) логиниться на компьютере. Доменным в домен, локальным, соответственно, на локальной машине.
"locally" в названии политики обозначает интерактивную сессию(CTRL+ALT+DEL >login/password/domain > enter). А уж где юзер авторизуется, на DC или в локальной базе безопасности, это зависит от того, где эта учатная запись расположена...
http://www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/iisbook/c09_interactive_logon.asp |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Вт Июл 12 2005 09:14 Заголовок сообщения: |
|
|
На всех компьютерах локальных учетных записей кроме как "Администратор" никаких нету..
Все учётные записи заведены на самбе...
Учетные записи пользователей занесены в доменную группу Domain Users, которая включена на компах в локальную группу Users.
Общую ситуацию описать трудно, но примерно это выглядит так:
Есть комната в которой стоит 2 десятка компов..
Компьютеры не принадлежат конкретным юзерам..
Заведено несколько общих учетных записей для юзеров (user1, user2, user3 и т.д.)
Юзер приходит, садится за свободный комп вводит сообщенный ему логин (например user1) и начинает работать..
Есть несколько компов на которых нежелательно что бы работали юзеры с логином например user1. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Вт Июл 12 2005 09:16 Заголовок сообщения: |
|
|
почему то я не вижу где устанавливается "Deny logon locally"
.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Вт Июл 12 2005 09:54 Заголовок сообщения: |
|
|
В групповых политиках.
Создаешь политику, привязываешь ее к OU, содержащему нужный компьютер, фильтруешь, чтобы применялась только к этому компьютеру. Это в Windows :-) |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Июл 12 2005 22:16 Заголовок сообщения: |
|
|
В локальной политике безопасности компа говоришь кому запрещен локальный вход в систему.
В общем-то правильно подсказали уже.
Только это будет работать для WinNT 4.0 и выше. В win95/98/me этот фокус по моему не пройдет. |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Вт Июл 12 2005 23:38 Заголовок сообщения: |
|
|
and3008 писал(а): | В локальной политике безопасности |
Тоже дело, я как-то все в сторону доменных политик думал... |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пн Июл 18 2005 06:22 Заголовок сообщения: |
|
|
На w2k всё замечательно получилось!
На Nt4 .. почему то не сработало...
Проверюсь ещё раз.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
|