| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
 Добавлено: Вт Дек 19 2006 09:12 Заголовок сообщения: Запретить работу незарегистрированным в домене станциям |
 |
|
Как сделать, чтобы работать с серверами могли только с рабочих станций, зарегистрированных в домене. Домен на W2K, рабочие станции 98-е, W2K, XP.
Хочу удалить со всех рабочих станций локальных пользователей, для этого надо, чтобы они все были в домене и на них применился скрипт.
Может не совсем понятно написал, если что, могу уточнить.  |
|
| Вернуться к началу |
|
 |
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Вт Дек 19 2006 09:46 Заголовок сообщения: |
|
|
закрыть учетку гостя не пробовали и дать разрешение только зарегистрированным пользователям, членам домена.
Так вы запрититете работать с серверами.
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Вт Дек 19 2006 10:05 Заголовок сообщения: |
|
|
| grf писал(а): | закрыть учетку гостя не пробовали и дать разрешение только зарегистрированным пользователям, членам домена.
Так вы запрититете работать с серверами.
|
Гость задизаблен давно.
Если логин пользователя на рабочей станции совпадает с логином в домене и имеет один пароль, то пользователь влегкую работает с сервером. Для этого даже не надо иметь комп, зарегистрированный в домене. |
|
| Вернуться к началу |
|
|
ANDronis
Зарегистрирован: 16.02.2005
Сообщения: 158
|
| Добавлено: Вт Дек 19 2006 11:18 Заголовок сообщения: |
|
|
можно в доменной политике или в локальной политике определенных серваков (если надо ограничить доступ к только к некоторым сервакам).
Computer Configuration\Windows Setings\Security Settings\User Rights Access отредактировать параметр Access this computer from network и разрешить доступ только для доменных групп (админов домена, пользователей домена и т.п.) |
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Вт Дек 19 2006 12:18 Заголовок сообщения: |
|
|
Именно об этом писал выше (красным):
Гость задизаблен давно.
Если логин пользователя на рабочей станции совпадает с логином в домене и имеет один пароль, то пользователь влегкую работает с сервером. Для этого даже не надо иметь комп, зарегистрированный в домене.[/quote] |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Вт Дек 19 2006 12:26 Заголовок сообщения: |
|
|
1. Что подразумевается под работой с сервером.
2. Гость - это гость, доступ из сети- доступ из сети.
Как входите на раб. станцию? Она включена в домен?
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
Denjs
Зарегистрирован: 29.08.2003
Сообщения: 137
|
| Добавлено: Вт Дек 19 2006 12:34 Заголовок сообщения: |
|
|
| Slaventy писал(а): | Именно об этом писал выше (красным):
Если логин пользователя на рабочей станции совпадает с логином в домене и имеет один пароль, то пользователь влегкую работает с сервером. Для этого даже не надо иметь комп, зарегистрированный в домене. |
т..е вы утверждаете что если логиниться "локально" но с теми же пользователем и паролем что и в домене на машине введенной в домен - то будет доступ к сетевым ресурсам домена,
вы уверены ?! вы уверены что домен поднят и работает?
не.. мелочей я конечно не знаю... надо проверить... ) |
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Вт Дек 19 2006 13:31 Заголовок сообщения: |
|
|
| Denjs писал(а): | | Slaventy писал(а): | Именно об этом писал выше (красным):
Если логин пользователя на рабочей станции совпадает с логином в домене и имеет один пароль, то пользователь влегкую работает с сервером. Для этого даже не надо иметь комп, зарегистрированный в домене. |
т..е вы утверждаете что если логиниться "локально" но с теми же пользователем и паролем что и в домене на машине введенной в домен - то будет доступ к сетевым ресурсам домена,
вы уверены ?! вы уверены что домен поднят и работает?
не.. мелочей я конечно не знаю... надо проверить... ) |
Да. Уточню. На рядовые сервера - действительно не пускает.
На контроллер домена пускает. |
|
| Вернуться к началу |
|
|
oleg_poruchikov
Зарегистрирован: 09.09.2004
Сообщения: 567
Откуда: http://tor.clan.su
|
| Добавлено: Вт Дек 19 2006 17:32 Заголовок сообщения: |
|
|
to Slaventy
Я не совсем понял, что Вы хотите...
Запретить доступ к DC с компов, зарегистрированных в домене или не зарегистрированных????
У Вас есть пользователи, которые имеют одинаковые учетные записи с одинаковыми паролями и в домене, и в клиентском компе???
А зачем это Вам вообще нужно??? Если комп введен в домен, то зачем ещё и локальная учетка???
Убейте её!!!
Если Вам необходимо запретить доступ из сети к DC с компьютера, не зарегистрированного в домене, то здесь ситуация сложнее, но разрешима
Default Domain Controllers Policy\Computer Configuration\Windows Setings\Security Settings\User Rights Access отредактировать параметр Access this computer from network
И не перепутайте Default Domain Controllers Policy с Default Domain Policy...
В помошь Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей, а особенно пункт "Сетевой доступ к этому компьютеру"...
_________________
Вот такая картина маслом! (c) |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Ср Дек 20 2006 08:12 Заголовок сообщения: Re: Запретить работу незарегистрированным в домене станциям |
|
|
| Slaventy писал(а): | | Может не совсем понятно написал, если что, могу уточнить. |
Да. Ваще непонятно! Выходит незарегеным дано дать права, ввести их в домну, а потом снести благополучно. И скриптом причём. ага.
Чёта Вы эта... 
Не проще убить на тех кто не нужен SAM-a и всё. Пошастают админами чуть, раз они уже и так шастают и так и растак. А перестраивать потом уже на месте и так как надо.
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Ср Дек 20 2006 08:44 Заголовок сообщения: |
|
|
| oleg_poruchikov писал(а): | to Slaventy
Я не совсем понял, что Вы хотите...
Запретить доступ к DC с компов, зарегистрированных в домене или не зарегистрированных????
Хочу запретить доступ с компов, незарегистрированных в домене. Домен раскидан по области.
У Вас есть пользователи, которые имеют одинаковые учетные записи с одинаковыми паролями и в домене, и в клиентском компе???
А зачем это Вам вообще нужно??? Если комп введен в домен, то зачем ещё и локальная учетка???
Убейте её!!!
Выше я писал, что хочу убить эти учетные записи. Для этого мне нужно, чтобы компьютеры были в домене. Админы на местах могут не совсем правильно отражать политику партии... Или чего то не понимать.
Если Вам необходимо запретить доступ из сети к DC с компьютера, не зарегистрированного в домене, то здесь ситуация сложнее, но разрешима
Default Domain Controllers Policy\Computer Configuration\Windows Setings\Security Settings\User Rights Access отредактировать параметр Access this computer from network
И не перепутайте Default Domain Controllers Policy с Default Domain Policy...
Нет, не поможет.
В помошь Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей, а особенно пункт "Сетевой доступ к этому компьютеру"... |
|
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Ср Дек 20 2006 08:55 Заголовок сообщения: |
|
|
Я обрисую ситуацию:
Домен - географически разбросан по области. В каждой точке есть свой админ. Естественно понимание домена имеется свое.
Многие админы создают на рабочих станциях локальных пользователей, с таким же именем. Делают такой же пароль, как в домене. Рабочую станцию не регистрируют в домене.
Работают в каждой точке с контроллером домена в качестве сервера общего доступа.
Я же хочу привести все к единообразию, чтобы все тачки были в домене. Для этого хотел запретить доступ к серверам с компов, незарегистрированных в домене. |
|
| Вернуться к началу |
|
|
Slaventy
Зарегистрирован: 19.12.2006
Сообщения: 7
|
| Добавлено: Ср Дек 20 2006 08:57 Заголовок сообщения: Re: Запретить работу незарегистрированным в домене станциям |
|
|
| San_dok писал(а): | | Slaventy писал(а): | | Может не совсем понятно написал, если что, могу уточнить. |
Да. Ваще непонятно! Выходит незарегеным дано дать права, ввести их в домну, а потом снести благополучно. И скриптом причём. ага.
Чёта Вы эта...
Не проще убить на тех кто не нужен SAM-a и всё. Пошастают админами чуть, раз они уже и так шастают и так и растак. А перестраивать потом уже на месте и так как надо. |
Кстати, ни хрена не понял. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
