bolegka Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как через GPO запретить доменному юзверю запретить доступ к шарам в локальной сети? Всего записей: 25 | Зарегистр. 13-04-2005 | Отправлено: 20:25 13-04-2005

nickloayev Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору bolegka Цитата: Как через GPO запретить доменному юзверю запретить доступ к шарам в локальной сети?   Default Domain Policy->Computer Configuration -> Windows Settings ->Security Settings ->Local Policies->User Rights Assignment->Deny acess to this computer from network  - добавляешь того пользователя кому хочешь запретить доступ ко всем компам, если нет политик которые перекрывают это правило Всего записей: 348 | Зарегистр. 17-02-2004 | Отправлено: 21:39 13-04-2005

Realmagnum Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору nickloayev Прошу прощения. У меня стоит такая же задача. Надо запретить доступ с компа одного определенному пользователю к шарам доменной сети.   Цель - сделать отдельный комп для выхода в Инет, но чтобы из сети нельзя было в него что-нить записать. Этот метод я попробовал - но почему-то не сработало. Я так же имею доступ к шарам, как и раньше. Всего записей: 94 | Зарегистр. 27-12-2005 | Отправлено: 18:16 24-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2Realmagnum   Не понял - надо запретить доступ с компа к шаркам в локальной сети или из локальной сети к шаркам этого компа?   А вообще посоветую сделать так: создайте две глобальных группы безопасности, в одну включите пользователей, которые должны иметь доступ к шаркам, а в другую тех - которые не должны иметь доступа. Затем настройте соответствующие разрешения (NTFS или на шарку)  на эти ресурсы - всё! Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 06:10 25-03-2006

Realmagnum Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору veryom Именно первый вариант.   Мне не хочяется перелопачивать все шары на серверах, дабы настроить их на недоступ определенному пользователю.     Вы высказали общие пожелания и пути. Но как реально их реализовать, совершенно непонятно.     Доступ к этому компу я могу и так запретить групповыми политиками и NTFS-рулесами.   Вся загвоздка как раз в том, чтобы не довать пользователю с этого компа иметь доступ в сеть. Причем мне не хотелось бы выводить этот комп из домена.   Может кто посоветует какие сторонние программы? Всего записей: 94 | Зарегистр. 27-12-2005 | Отправлено: 10:51 25-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 2Realmagnum   Если стоит задача запретить доступ с компа к шаркам в сети, то "перелопачивать все шары на серверах" всё-таки придётся. Только запретить доступ в разрешениях надо не отдельному пользователю, а группе безопасности (Security Group), в которую Вы включите данный компьютер. Группа безопасности нужна для облегчения администрирования - если в будущем у Вас появится второй компьютер, подключённый к Интернет, то будет достаточно просто внести его в эту группу. Вносить в группу нужно именно учётку компа, а не юзера, т.к. на данный комп потенциально могут заходить и другие юзеры домена. И вообще, хорошая практика системного администрирования подразумевает оперирование группами, а не отдельными учётками.   Порядок действий: 1. Создаём глобальную группу безопасности. 2. Включаем в эту группу учётную запись нашего компьютера. 3. Если у Вас на расшаренных каталогах не отменено наследование, то достаточно в NTFS-разрешениях запретить доступ к вышестоящему каталогу созданной группе. Если наследование отменено, то придётся "перелопачивать все шары на серверах" Результат - любой юзер, зашедший на на комп, не сможет получить доступ к шаркам. Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 17:12 25-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Refugee Цитата:  так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service" Мы запрещаем доступ только данному УДАЛЁННОМУ компу к шарам на СЕРВЕРЕ, причём здесь процессы, запущенные от "Local System" или "Network Service"?! Если ты имеешь ввиду процессы на сервере, то мы им ничего не запрещаем, а если - на ПК домена, то процессы под этими учётками и так не получат доступа к шарам. Что ты имел ввиду?! Подумай сам - зачем процессам, запущенным на рядовом компьютере домена доступ к шарам на сервере? Цитата: К пользователям это никакого отношения не имеет Как так??! Если пользователь войдёт в домен на данном ПК, он не получит доступа к шаркам, а если войдёт в домен на каком-нибудь другом ПК - получит. Цитата: Вторая группа совершенно не нужна Группа, в которою входят пользователи, не должные иметь доступ к ресурсам, нужна для лучшей структуризации, но согласен, можно её и не заводить.   Этот комп будет подключен к Интернет (скорее всего напрямую, не через аппаратный файрвол и прокси-сервер), а значит предложенные мной действия - минимально необходимые. По-хорошему этот комп вообще нужно вывести из домена и отключить от ЛВС. Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 20:23 25-03-2006 | Исправлено: veryom, 21:12 25-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Refugee   Привожу выдержку из книги "Управление и поддержка Microsoft Windows Server 2003. MCSA/MCSE, экзамен 70-290. Официальное пособие Microsoft для самостоятельной подготовки"   "Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматривали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запретить с него доступ к секретным данным, руководитель не сможет обратиться к секретным данным из комнаты отдыха и будет работать с ними только с собственного компьютера." (Глава 6 "Файлы и папки", Занятие 2 "Настройка разрешений файловой системы", стр. 155) Цитата: проверь сам Завтра на работе обязательно проверю и "о результатах доложу" Цитата: чтобы winlogon мог прочитать policy  с \\domain\sysvol\ Так я же не запрещаю доступ учётной записи компьютера к шарам SYSVOL и NETLOGON. Я запрещаю доступ только к каталогам файловых ресурсов. И в своём вопросе имел ввиду доступ именно к этим каталогам файловых ресурсов. Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 17:12 26-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Проверил. Сервер - Windows 2000 Advanced Server, клиент - Windows XP. Включал учётную запись компьютера клиента в ACL, запрещаел доступ. Действительно, не работает, доступ всё равно к шарке есть . Может быть, будет работать под Windows Server 2003? Или надо выполнить другую последовательность действий?   Кто знает, подскажите, можно ли запретить доступ к расшаренному ресурсу по учётной записи компьютера, т.е. не зависимо от пользователя, вошедшего с этотого компьютера в домен (смотрите мой пост выше)? Где можно почитать именно об учётных записях компьютера и об ограничении на её основе доступа к ресурсам? Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 20:23 28-03-2006

angelprelude Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору я лично с учётными записями компьютера ничего добиться не смог Всего записей: 119 | Зарегистр. 11-10-2004 | Отправлено: 00:32 29-03-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shadowonline Цитата: Имеется некий компьютер или группа компьютеров к котор(ой/ому) не должно быть доступа из сети других пользователей Наоборот, имеется некий компьютер или группа компьютеров, с которого/которых не должно быть доступа к определённым ресурсам сети (читай мой пост с цитатой из умной книжки ). Т.е. доступ должен запрещаться/разрешаться не по учётной записи пользователя, а по учётной записи компьютера. Чтобы пользователи, имея доступ к каким-нибудь каталогам в сети, не имели доступа к этим же каталогам с одного определённого компьютера, например, с компьютера общего пользования. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 15:19 22-04-2006

FreemanRU Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору veryom Цитата: Настройка разрешений файловой системы Всё же Users Rights это не файловая система. Refugee сказал в данном случае верно. Цитата: так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service   Хотя применительно к ФС это не так.     ---------- Если не получается с первого раза - прочти инструкцию. (с) "Откуда нам знать, что такое война, если мы не знаем мира..."(с) Записки Всего записей: 3799 | Зарегистр. 16-07-2004 | Отправлено: 16:58 22-04-2006

SeT Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос (может конечно и не сюда) как через GPO запретить юзерам вообше шарить папки? Всего записей: 433 | Зарегистр. 05-02-2004 | Отправлено: 12:24 12-10-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SeT Юзеры под какими ОС сидят? Если под Win2000/XP, то юзер под учёткой простого пользователя никак не может "шарить папки". Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 23:04 12-10-2006

SeT Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom оси ХР юзера сидят локальными админами...поэтому и возникает вопрос запрета. Всего записей: 433 | Зарегистр. 05-02-2004 | Отправлено: 07:37 13-10-2006

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору oneman33 Если юзер - админ домена (или локалный админ), то никак ты его не ограничишь. Админ домена - бог в локальной доменной сети. С юзерами в качестве админов домена ты по краю ходишь (завтра у тебя какой-нибудь юзер порушит AD и морду кирпичом - мол, не знаю, не ведаю - а тебе отвечать).   Поставь автокад на свою или экспериментальную машину и поэкспериментируй - может, дело в правах NTFS на какие-нибудь каталоги, может, нужен административный доступ к веткам реестра, может, нужна какая-нибудь привилегия и т.д. Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 12:22 13-10-2006

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » GPO - запретить пользователю доступ к шарам

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование