|
как запретить доступ к контроллеру с некоторых клиентских ма
|
|
|
|
platan |
Воскресенье, 16 Марта 2003, 20:59
|
Участник
Профиль
Группа: Участник
Сообщений: 32
Регистрация: 04.02.2003
Из: Ukrsine
Пользователь №: 4855
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Помогите, а то уже узвелся - пол-дня впустую! Есть домен. Контроллер - w2k as, клиенты - WinXPHome. Есть в сети 4 компа-клиента, с которых любой пользователь (в том числе и админ домена) не смог-бы подключится к серверу-контроллеру (чтоб не было даже запроса ввести логин и пароль). Перепробовал уже все, что знал, а в результате подключаешся с этих компов к серверу под всеми пользователями, которым разрешен вход на сервак! Обидно. Заранее спасибо тому, кто поможет.
|
|
|
|
|
crazy-admin |
Воскресенье, 16 Марта 2003, 23:54
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 26.06.2002
Из: Moldova
Пользователь №: 2545
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
platan как-то сумбурно и не совсем понятно. у тебя машины значит входят в домен, и при этом ты хочешь, чтоб с этих машин не было доступа к контроллеру домена? так не получится по определению, если машина является членом домена, то она где-то должна же аутентифицироваться и контролировать все свои действия с помощью контроллера домена и политик прописанных на нем. можно например сделать так, чтобы вход на эту машину был разрешен только определенным пользователям и соответсвенно прописать, что этим пользователям можно делать - делается на уровне политик. если речь идет о файлах и сетевых ресурсах, то на уровне контроля доступа на файловой системе и шарах. если стоит вопрос о том, чтобы эти машины стояли отдельно и не имели никакого отношения к домену, то и незачем их в домен вводить, а в доменной политике запретить неавторизированные подключения. ну а если еще дальше пойти, то можно фильтровать трафик и скажем блокировать все что идет с этих машин, ну и еще есть IPSec. про все реализации говорить я так понимаю нет смысла и если честно то и желания тоже. если можно задачу по конкретнее разжевать, а имено: что планируется держать на этих 4-х машинах и почему надо чтоб с них не могли подключиться к контроллеру домена даже администратор(ы) домена? ну и т.д. и т.п.
пока вроде все. успехов!
|
|
|
|
|
platan |
Понедельник, 17 Марта 2003, 11:36
|
Участник
Профиль
Группа: Участник
Сообщений: 32
Регистрация: 04.02.2003
Из: Ukrsine
Пользователь №: 4855
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Ситуация следующая: Компьютерный клуб. Для пользования интернетом и некоротыми программам и выделено 4 машины. На остальных компютерах работают свои сотрудники - каждый из них прописан в домене. Я хочу запретить доступ всем (в том числе и своим) с этой славной четверки к серверу (чтоб даже на запрашивал пароль, а сразу - нет доступа!). 1) Этим я хочу отучить пользоваться не теми компами своих, а то иногда зайдет кто-то из своих в сервак, потом забывают выйти из учетной записи на XP, после этого садится клиент - и опа! - все ресурсы открыты - уничтожай на здоровье! 2) Хочу чтоб на этой четверке даже не оставалось никаких следов паролей для взломщиков!
|
|
|
|
|
Egor |
Понедельник, 17 Марта 2003, 21:26
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Это проще, log off по времени + не показывать имя последнего пользоателя.
|
|
|
|
|
platan |
Понедельник, 17 Марта 2003, 22:08
|
Участник
Профиль
Группа: Участник
Сообщений: 32
Регистрация: 04.02.2003
Из: Ukrsine
Пользователь №: 4855
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
log off по времени - можно подробней. Насчет не показывать имя последнего пользователя - это в окне подключения серверу (логин + пароль) - и так не показывает.
|
|
|
|
|
crazy-admin |
Вторник, 18 Марта 2003, 11:49
|
Участник
Профиль
Группа: Участник
Сообщений: 282
Регистрация: 26.06.2002
Из: Moldova
Пользователь №: 2545
Конфигурация
Корпус: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
platanЦитата 1) Этим я хочу отучить пользоваться не теми компами своих, а то иногда зайдет кто-то из своих в сервак, потом забывают выйти из учетной записи на XP, после этого садится клиент - и опа! - все ресурсы открыты - уничтожай на здоровье!... ...log off по времени - можно подробней для этого есть NTFS и пермишины на нем. да и не мешало бы поубавить прав пользователям. так чтоб совсем даже не выводило сообщения об аутентификации не получится - пользователи просто не смогут с контроллера свои настройки прочитать с вытекающими отсюда последствиями. в доменной политике посмотри веточку Computer Configuration -> Windows Setings -> Local Policies -> Security Options посмотри параметры Automaticaly logoff users when logon time expires - позволяет автоматически завершать сеанс пользователя в определенное время (разрешенное время работы выставлется для каждого пользователя индивидуально в его свойствах). тоже в этой же веточке параметр Amount of idle time required before disconnecting session - позволяет закрывать все открытые сесии с сервером при простаивании ч/з указаный в политике промежуток времени. можно в принципе если сильно захотеть и с IPSec поиграться и фильтровать трафик для этих пользователей, но если чего не знаешь то лучше туда просто так не лезь без предварительной подготовки. так что читай справочную информацию и пробуй, полюбому прийдется же когда-то начинать Цитата 2) Хочу чтоб на этой четверке даже не оставалось никаких следов паролей для взломщиков! в доменной политике посмотри веточку Computer Configuration -> Windows Setings -> Local Policies -> Security Options -> Numbers of previous logons to cache (in case domain controller is not available). Цитата а то иногда зайдет кто-то из своих в сервак, потом забывают выйти из учетной записи на XP, после этого садится клиент - и опа! правда вот в этом случае врядли что-то поможет - эта учетная запись может подвергнуться испытаниям в кратце вроде все. если чего упустил или наврал может кто добавит или исправит. успехов!
|
|
|
|
|
platan |
Вторник, 18 Марта 2003, 13:41
|
Участник
Профиль
Группа: Участник
Сообщений: 32
Регистрация: 04.02.2003
Из: Ukrsine
Пользователь №: 4855
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Спасибо всем, особенно crazy-admin . Кое-что сделал (ну не все же сразу - я же только учусь!) 1)Только закралось такое подозрение: winXPHome точно может работать в домене (а не в одноименной группе)? 2)Поскольку я никогда не работал в домене, то не знаю, как происходит вход в домен клиента. У меня работает так: входиш в любую учетную запись на XP, потом обращаешся к сетевому окружению, потом выбираешь сервер и появляется запрос ввести логин и пароль. Так должно быть для домена?
|
|
|
|
|
Egor |
Вторник, 18 Марта 2003, 13:52
|
reader
Профиль
Группа: Профессионалы
Сообщений: 4172
Регистрация: 29.03.2001
Из: Подмосковья
Пользователь №: 55
Конфигурация
Корпус: ASCOT Premium Edition 500 Wt Процессор: Core2 Duo/Extreme Материнская плата: ASUS P5K Deluxe Оперативная память: (4x1G) PC2-6400 800MHz DDR2 Kingston Видеокарта: ATI Radeon HD 4730 Жесткий диск (винчестер): (2x1TB) Western Digital WD10EADS Green Power Дисковод: Нет дисковода CD/DVD: DVD-RW Lite-on iHAS124-19 SATA Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: Acer AL2216W Операционная система: Win7 x64 Pro Прочее: --
|
Нет, это ты залогинился локальным пользователем. А сама машина с ХР в домен вводилась?
|
|
|
|
|
platan |
Вторник, 18 Марта 2003, 20:37
|
Участник
Профиль
Группа: Участник
Сообщений: 32
Регистрация: 04.02.2003
Из: Ukrsine
Пользователь №: 4855
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Нет, это ты залогинился локальным пользователем. А сама машина с ХР в домен вводилась? - В Актив директори прописаны все машины. На компе с ХР, который называется user2 даю команду echo %logonserver% - получаю результат: user2 - что это значит: в домене машина, или нет?
|
|
|
|
|
Beerkoff |
Пятница, 21 Марта 2003, 10:50
|
Администрация
Профиль
Группа: WinCity Team
Сообщений: 895
Регистрация: 04.02.2001
Из: Санкт-Петербург
Пользователь №: 26
Конфигурация
Корпус: -- Процессор: Другой Материнская плата: ASUS Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: Нет дисковода CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
вопрос: а что значит XP Home ввести в домен? я понимаю при входе в сеть имя и пароль могут проверяться доменным контроллером как в 98, но ввести в домен? я всегда думал, Prof можно ввести в домен, а Home нельзя соответственно все групповые политики и т.д. я ошибаюсь?
|
|
|
|
|
Fоrever |
Среда, 12 Ноября 2003, 5:29
|
Участник
Профиль
Группа: Участник
Сообщений: 39
Регистрация: 09.10.2003
Пользователь №: 6012
Конфигурация
Корпус: Noname ATX-250 Процессор: Celeron Материнская плата: Acorp VIA686 Оперативная память: 512 Видеокарта: Asus 7100 GeForce2mx-200 Жесткий диск (винчестер): Maxtor 60 Gb 7200, Quantum 40 Gb 5400 Дисковод: 3.5" CD/DVD: CD Модем: -- Сетевой адаптер: AT-2500 RJ-45, 3com 905b Звуковая плата: AC97 Монитор: Samsumg 551s 15" Операционная система: Windows2000, FreeBSD 5.2 Прочее: --
|
IMHO, WinXP Home Edition нельзя включить в домен. Ибо это домашняя система.
|
|
|
|
|
|
Среда, 12 Ноября 2003, 7:30
|
Unregistered
Профиль
Конфигурация
Корпус: -- Процессор: -- Материнская плата: -- Оперативная память: -- Видеокарта: -- Жесткий диск (винчестер): -- Дисковод: -- CD/DVD: -- Модем: -- Сетевой адаптер: -- Звуковая плата: -- Монитор: -- Операционная система: -- Прочее: --
|
Кхм... да тут уж не IMHO - тут действительно ФАКТ! Что Home Edition в домен включить невозможно.
|
|
|
|
|
Барэль |
Среда, 12 Ноября 2003, 16:32
|
Впередсмотрящий
Профиль
Группа: WinCity Team
Сообщений: 6383
Регистрация: 08.11.2001
Из: Санкт-Петербург, Россия
Пользователь №: 633
Конфигурация
Корпус: CM Centurion 534 + 850W Zalman Процессор: Другой Материнская плата: ASUS M4A79XTD EVO Оперативная память: Samsung - 2x2048 Mb DDR3 PC10600 Видеокарта: 1024 Mb Asus Radeon HD5770 Жесткий диск (винчестер): 250 Gb Seagate SATA (системный) + 2 Tb Seagate LP SATA + 2 Tb Seagate LP SATA Дисковод: 3.5" CD/DVD: Nec 4570 DVD+-RW Модем: -- Сетевой адаптер: OnBoard Звуковая плата: OnBoard Монитор: 22 Samsung SyncMaster P2250 Операционная система: Windows XP Прочее: Акустическая система Microlab Solo 1, UPS APC CS500, МФУ Canon MP800, Cooler CoolerMaster (CM) V8, Процессор AMD Phenom II 945
|
Fоrever, хм.... Отвечать на полугодовалые темы?
--------------------
Вот. Винда проставилась. И даже уже BSOD выдала. Значит, работает! На всякий случай, воспользуйтесь поиском
|
|
|
|
|
|
1 чел. читают эту тему (1 Гостей и 0 Скрытых Пользователей)
|
0 Пользователей:
|
|
© Copyright by WinCity.Ru 2001 - 2008 | Обратная связьУслуги веб-хостинга предоставлены компанией MTW.RU
|
|