|
|
|
|
Cruiser |
Понедельник, 27 Декабря 2004, 12:47
|
Участник
Профиль
Группа: Участник
Сообщений: 73
Регистрация: 11.08.2002
Из: Украина, Трускавец
Пользователь №: 2999
Конфигурация
Корпус: 300 W Материнская плата: -- Оперативная память: 512 Видеокарта: NVIDIA GeForce4 MX 440 Жесткий диск (винчестер): Maxtor 6Y060L0 Дисковод: 3.5" CD/DVD: CD 52x Модем: внутренний, Conexant Soft56 Сетевой адаптер: Intel Pro 100 Звуковая плата: AC'97 Монитор: Samsung SyncMaster 755 DF Операционная система: Win 2000 Server Прочее: WebCam
|
Приветствую. Есть лок сеть из 16 дочерних доменов и одного родительского. Основной контроллер родительского домена работает как шлюз, на нём к тому же поднят RRAS. На другом контроллере этого же домена есть некая папка FOLDER, расшаренная для всех. Создан юзер vpn_user для VPN доступа. Задача: данный юзер должен иметь доступ к папке FOLDER и только к ней. Т.е. чтобы он ни на одной машине ни одного домена не мог получить доступ к ресурсам. Подскажите как с минмальными затратами времени решить эту задачу с помощью NTFS и групповых политик? У меня 250 машин, я не могу просто на каждой в NTFS запретить доступ для этого юзера.
--------------------
MCP
|
|
|
|
|
Jeremiah |
Понедельник, 27 Декабря 2004, 14:59
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
Групповая политика "Отказ в доступе к компьютеру из сети" пойдет?
--------------------
Пьяный русский хакер практически непобедим!
|
|
|
|
|
Cruiser |
Понедельник, 27 Декабря 2004, 16:10
|
Участник
Профиль
Группа: Участник
Сообщений: 73
Регистрация: 11.08.2002
Из: Украина, Трускавец
Пользователь №: 2999
Конфигурация
Корпус: 300 W Материнская плата: -- Оперативная память: 512 Видеокарта: NVIDIA GeForce4 MX 440 Жесткий диск (винчестер): Maxtor 6Y060L0 Дисковод: 3.5" CD/DVD: CD 52x Модем: внутренний, Conexant Soft56 Сетевой адаптер: Intel Pro 100 Звуковая плата: AC'97 Монитор: Samsung SyncMaster 755 DF Операционная система: Win 2000 Server Прочее: WebCam
|
Т.е. это в политике безопасности домена? А что она означает? Означает ли она, что удалённый юзер, набрав в командной строке \\комп_юзера_дочернего_домена, не будет иметь доступ к розшаренным ресурсам любого юзера. Что он не будет иметь доступ к просмотру ресурсов через сетевое окружение?
--------------------
MCP
|
|
|
|
|
Jeremiah |
Понедельник, 27 Декабря 2004, 18:37
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
В доменных политиках она тоже есть, ветка Конфигурация компьютера\конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя. Пользователю будет отказано в доступе к компьютеру из сети, т.е. набрав \\computer_name он получит Access denied. Ровно тоже самое будет при доступе к компу через сетевое окружение. соответственно к шарам тоже доступа не будет.... Однако Ping и обмен пакетами будет нормально проходить. В Ресурските политики описаны, посмотри может еще что-то интересное найдешь....
--------------------
Пьяный русский хакер практически непобедим!
|
|
|
|
|
Cruiser |
Понедельник, 27 Декабря 2004, 18:45
|
Участник
Профиль
Группа: Участник
Сообщений: 73
Регистрация: 11.08.2002
Из: Украина, Трускавец
Пользователь №: 2999
Конфигурация
Корпус: 300 W Материнская плата: -- Оперативная память: 512 Видеокарта: NVIDIA GeForce4 MX 440 Жесткий диск (винчестер): Maxtor 6Y060L0 Дисковод: 3.5" CD/DVD: CD 52x Модем: внутренний, Conexant Soft56 Сетевой адаптер: Intel Pro 100 Звуковая плата: AC'97 Монитор: Samsung SyncMaster 755 DF Операционная система: Win 2000 Server Прочее: WebCam
|
Ну хорошо, таким образом я запрещу юзеру соваться на все дочерние домены, но в глобальном-то домене мне нужно, чтобы он имел доступ к серваку, к его единственной шаре и больше ни к кому в этом домене. Значит тут так не пройдёт
--------------------
MCP
|
|
|
|
|
Jeremiah |
Вторник, 28 Декабря 2004, 11:28
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
Ну дык на сервак эту политику не распространяй (в окне со списком политик, выбираешь нужную, жмешь свойства, закладка безопасность, добавь в список сервак (именно комп! он со знаком $ должен быть в списке), и поставь галочку Запретить для Применять групповую политику). Для сервака разруливай NTFS разрешениями и правами на общий доступ.
PS. а чего так много дочерних доменов-то, ведь на каждый домен придется эту политику навешивать отдельно.
Сообщение отредактировал Jeremiah - Вторник, 28 Декабря 2004, 11:32
|
|
|
|
|
Cruiser |
Вторник, 28 Декабря 2004, 11:57
|
Участник
Профиль
Группа: Участник
Сообщений: 73
Регистрация: 11.08.2002
Из: Украина, Трускавец
Пользователь №: 2999
Конфигурация
Корпус: 300 W Материнская плата: -- Оперативная память: 512 Видеокарта: NVIDIA GeForce4 MX 440 Жесткий диск (винчестер): Maxtor 6Y060L0 Дисковод: 3.5" CD/DVD: CD 52x Модем: внутренний, Conexant Soft56 Сетевой адаптер: Intel Pro 100 Звуковая плата: AC'97 Монитор: Samsung SyncMaster 755 DF Операционная система: Win 2000 Server Прочее: WebCam
|
Всё, спасибо, буду пробовать. Само собой на каждый домен отдельно нужно, но можно и на сайт навесить Default-First... , он у меня один )) А доменов так много, потому что 250 машин в сети и по количеству доменов - количество территориально распределённых офисов.
--------------------
MCP
|
|
|
|
|
Jeremiah |
Вторник, 28 Декабря 2004, 14:10
|
Участник
Профиль
Группа: Участник
Сообщений: 597
Регистрация: 12.08.2002
Из: Москва
Пользователь №: 3015
Конфигурация
Корпус: Mini Tower Материнская плата: Intel 840 Оперативная память: 512 Мб Видеокарта: NVIDIA RIVA TNT2 Model 64 Жесткий диск (винчестер): Seagate 60ГБ; Seagate 20ГБ 5400rpm Дисковод: 3.5" CD/DVD: LG 52x Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: ViewSonic EF70 Операционная система: Windows XP SP2 Прочее: --
|
прошу прощения за офтоп... Цитата | по количеству доменов - количество территориально распределённых офисов. |
ИМХО это не удобно, плохо управляемо, если ты один этим рулишь. Я так сделал по-началу, сейчас жалею, лучше просто второй, третий, четвертый DC одного домена поставить,чем лес городить.
А с сайтами я нарвался на то, что пока были все в одном сайте, хранителем глобального каталога являлся только корневой DC (не смотря на выставленные галочки). Таким образом, когда связь с офисом пропадала, юзвери не регились в домене. Возможно это мои кривые ручки... в общем разнес все офисы по отдельным сайтам.
--------------------
Пьяный русский хакер практически непобедим!
|
|
|
|
|
Cruiser |
Вторник, 28 Декабря 2004, 15:10
|
Участник
Профиль
Группа: Участник
Сообщений: 73
Регистрация: 11.08.2002
Из: Украина, Трускавец
Пользователь №: 2999
Конфигурация
Корпус: 300 W Материнская плата: -- Оперативная память: 512 Видеокарта: NVIDIA GeForce4 MX 440 Жесткий диск (винчестер): Maxtor 6Y060L0 Дисковод: 3.5" CD/DVD: CD 52x Модем: внутренний, Conexant Soft56 Сетевой адаптер: Intel Pro 100 Звуковая плата: AC'97 Монитор: Samsung SyncMaster 755 DF Операционная система: Win 2000 Server Прочее: WebCam
|
Да нет, вроде удобно рулить. Во всяком случае не с чем сравнить. И если связь с офисом пропадает, то юзера свободно себе заходят в дочерний домен, без глобального каталога.
--------------------
MCP
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|