Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Сервисные учетные записи (windows server)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Добрый день, я думаю такие учетки есть у каждого, но как именно вы запрещаете им локальный вход в систему?
Я это делаю не совсем правильно (ну по крайне мере метод выглядит подозрительно, но работает), в свойствах пользователя я указываю разрешено вход только на компьютер контролера домена (так как пользователям домена вход туда запрещен, то он и туда зайти не может, а NTFS права работают)
 
Есть еще способ который выглядит более верно - это указать в групповых политиках, чтобы Откланялся локальный вход для указанных учеток (ну или более верно группы), но у такого метода есть один минус, так как у разных компах в сети там стоят разные пользователи в зависимости от установленного софта (у кого есть ASPNET у кого его нет и т.д.), т.е. локальные политики применяться методом замещения...
 
Как я понял проблему не решит и выделение этих пользователей в подразделение и применить политику ограничения входа только на него? так как ограничение локального входа - это политика компьютера.
 
Как Вы решаете эту проблему?

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 07:15 29-04-2013
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Acid gh0st
второй способ правильный - запреты всегда имеют приоритет над разрешениями..
если на компе для юзера/группы указано "отклонить локальный вход", он никогда и не залогинится локально..

Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 07:39 29-04-2013
Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
TheBarmaley, спасибо за ответ, но тогда как решать эту проблему?
 
Например, на одной рабочей станции в политиках безопасности по-умолчанию установлено Отклонить локальный вход в систему для: Гость, Support_388945a0. А на другой рабочей станции к этим логинам еще добавляется ASPNET, и прочее.
Т.е. если я в групповых политиках безопасности укажу, Отклонить локальный вход в систему для Гость, Support_388945a0 и ASPNET, а затем на рабочую станцию установлю еще какой-нибудь софт, служебного пользователя которого также нужно добавить в эту политику, как я об этом узнаю?  
 
Добавлено:
Согласен первый вариант хоть и работает, но сам факт разрешения входа на АД, вызывает неприятное жжение 8)
А если включить ограничение входа по времени? (т.е. время когда локальных вход разрешен просто не настанет).

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 09:13 29-04-2013
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Acid gh0st
без разницы, где/как указывать - работать будет результирующая политика + тот факт, что
Цитата:
запреты всегда имеют приоритет над разрешениями
т.е. для домена смысла задавать стандартные запреты нету - они и так стоят на локальных тачках..
и если, к примеру, некая софтина выставит такой запрет локально, то он и будет отработан локально..
а вот разрешения как раз лучше задавать на уровне доменных политик, т.к. тут приоритет обратный..
 
шо касаемо
Цитата:
сам факт разрешения входа на АД, вызывает неприятное жжение 8)
имхо, обоснованое чувство.. не надо "костылями" пользоваться - неровён час юзеры КД поломают.. )))

Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 10:25 29-04-2013
Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
TheBarmaley

Цитата:
т.е. для домена смысла задавать стандартные запреты нету - они и так стоят на локальных тачках..  и если, к примеру, некая софтина выставит такой запрет локально, то он и будет отработан локально..  а вот разрешения как раз лучше задавать на уровне доменных политик, т.к. тут приоритет обратный..

чтобы все прояснить окончательно, т.е. я могу в основной групповой политике (на сервере) изменить политику "Запретить локальный вход" и вписать туда только группу service_user (группа безопасности, где живут сервисные учетки). В итоге на клиентской машине в групповой политике будут не только service_user, но и Гость, Support_388945a0, ASPNET и пр.

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 17:31 29-04-2013 | Исправлено: Acid gh0st, 17:33 29-04-2013
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Acid gh0st
Цитата:
будут не только service_user, но и Гость, Support_388945a0, ASPNET и пр.
должно быть так, попробуй сделать для определённой OU и проверь потом rsop для нужной тачки..
только смотри, чтобы OU твоих сервисников не попало под запрет, иначе им даже залогиниться будет негде.. ))

Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 08:22 30-04-2013
Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
TheBarmaley
к сожалению это приводит к замещению. т.е. в "Запретить локальный вход" гордо стоит лишь service_user 8(

Цитата:
 
только смотри, чтобы OU твоих сервисников не попало под запрет, иначе им даже залогиниться будет негде.. ))  
 

вообще я хочу чтобы эти пользователи не имели возможность войти локально на любой машине, эти пользователи нужны, чтобы в планировщике выполнять функции с файлами, к примеру выложить вирусную базу на внутренний web-сервер, сейчас это делается от имени администратора домена, что мне не очень нравиться

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 10:17 02-05-2013 | Исправлено: Acid gh0st, 10:17 02-05-2013
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Acid gh0st
прошу прощения, не ответил вовремя.. ну.. праздники длинные были, то-сё.. )
Цитата:
к сожалению это приводит к замещению
всё правильно, так и должно быть - ведь, ещё раз
Цитата:
запреты всегда имеют приоритет над разрешениями
и я был невнимателен, пропустив твоё
Цитата:
в основной групповой политике (на сервере) изменить политику "Запретить локальный вход"
хотя тебе нужно было, ещё раз
Цитата:
разрешения как раз лучше задавать на уровне доменных политик, т.к. тут приоритет обратный

в итоге - шоб порулить твою задачку, предлагаю на уровне домена изменить политику "Локальный вход в систему"..
т.е. вместо запретов использовать "разрешительную систему", но (!) убрать из неё твоих сервисников..
и, ессно, настроить так, шоб эта политика НЕ применялась к рабочим машинам этих людей.. иначе
Цитата:
им даже залогиниться будет негде.. ))

 
пробуй, вопчем, должно заработать..
 
Добавлено:

Цитата:
сейчас это делается от имени администратора домена, что мне не очень нравиться
а в чём проблема-то? задай пользователя с ограниченными правами, но разреши ему выполнять конкретные задачи..
а если отрезать лок.вход полностью и везде, то это эквивалентно убиению юзера.. "мёртвые души", типа.. ;)
ну.. откуда-то интерактив всё-рно должен быть..

Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 08:18 15-05-2013
Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
в итоге - шоб порулить твою задачку, предлагаю на уровне домена изменить политику "Локальный вход в систему"..  
т.е. вместо запретов использовать "разрешительную систему", но (!) убрать из неё твоих сервисников..  

извиняюсь, что так долго отвечал, уезжал в командировку и про форум совсем забыл 8(
 
К сожалению предложенный тобой способ не заработал, не могу понять почему,  service_user был убран из груп которым разрешен локальный вход в систему, т.е. он состоит только в группе G_service_users, т.е. разрешения на локальный вход нигде и не должно быть, проверяем это через gpedit.msc на одной из локальных машин, действительно нет, пытаемся залогиниться и... пользователь спокойно входит...
 
____
 
хм догадываюсь в чем дело, просто на локальном компьютере в группу пользователи входят "Интерактивные" и "Прошедшие" проверку, а в них входят все пользователи в независимости от групповой принадлежности, попробую убрать, может выйдет, что я задумал.....
А вот можно ли их удалять из группы Пользователи???

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 09:37 02-06-2013 | Исправлено: Acid gh0st, 17:49 02-06-2013
TheBarmaley



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Acid gh0st
Цитата:
можно ли их удалять из группы Пользователи???
нежелательно.. т.к. сервисники могут обломится при попытке входа через рдп.. ну, как минимум..
ведь членство в интерактивных и прошедших проверку руками не регулируется..
 
кстати, группа "G_service_users" в какой группе в домене? и проверь наследование прав входа по вложенности ОУ..
 
как вариант - в твоём случае запрет лок.входа можно сделать, указав для домена ВСЕ запрещённые записи:
Цитата:
Гость, Support_388945a0, ASPNET и пр.
+ твоя группа сервисников..
сопссно, всё перечисленное стандартно, не вижу ничё страшного в "глобализации" такого запрета..
 
но, вопчем-то, это "жёсткая" политика, и если надо чё-то будет сменить - будет гимор с перетасовкой тачек по ОУ..
и я бы выбрал "мягкий" вариант с разрешениями, исключающий попадание сервисников в группы с дефольтным лок.входом..
т.е. я бы убрал их из "пользователей" и прочих групп, имеющих право локального входа по умолчанию..
но - для всех машин, кроме рабочих станций самих сервисников, иначе.. ну было уже.. ))

Всего записей: 17211 | Зарегистр. 07-06-2006 | Отправлено: 11:48 03-06-2013
Acid gh0st



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
кстати, группа "G_service_users" в какой группе в домене? и проверь наследование прав входа по вложенности ОУ..  

не в какой, сама по себе, и у пользователя service_user группа G_service_users выбрана группой по умолчанию и удален из группы "Пользователи домена".
 
Этот пользователь локально нигде и не должен логиниться (не на какой тачке), будут лишь от его имени выполняться некоторые скрипты, вот и все.
____
 
Я тоже крайне за "мягкой" политики, жаль, что нет какого нибудь getparam() который бы позволял к текущим политикам добавлять свои, к примеру в "Запрете локального входа" [getparem(), G_service_users]
____
решил найти ответ на вопрос, что будет если исключить из пользователей прошедших проверку и интерактивных - наткнулся на это http://social.technet.microsoft.com/Forums/en-US/ws2008r2ru/thread/63ff083e-5f31-4922-9f84-a5a6403c8860 , думаю все же попробовать на одной из машин убрать "Прошедших проверку" из локальной группы "Пользователи" и посмотреть, что будет...

Всего записей: 41 | Зарегистр. 31-01-2010 | Отправлено: 20:07 03-06-2013 | Исправлено: Acid gh0st, 20:37 03-06-2013
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Сервисные учетные записи (windows server)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru