Дело вот в чем. Сервер терминалов сам по себе вещь интересная, при желании можно сделать все что угодно. Главное все это потом скрыть.
Сервак - 2 Пня III по 1266, 1 гига памяти, 5 рейд (2диска по 18)+IDE 60(для всякого мусора от дизайнеров и т.д.). Это база для 1С. сети разделены физически т.ч. все кто бились головой об Firewall очень огорчены.
Видишь - скромно и со вкусом.
Чтобы этим управлять недостаточно 2 папок, всем юзерам подавай личные папки для отчетов и т.д., но эти гады иногда могут натворить такого что волосы шевелятся (приходится принимать меры...

По поводу доступа.

Тут я ошибся в формулировке. можно ограничить число машин с которых пользователь может войти на сервер.
Если он с бухгалтерии то на складе ему делать не фиг.Логично?...

Для всего серверного оборудования должна быть отдельная комната чтобы доступ к ней был только у админа (перекрываем всяким умникам доступ к консоли).

в моем случае (сервер терминалов) консоль и терминал отличаются одной важной деталью - с консоли я не могу управлять пользователями что находятся в терминале, а если я сам в терминале то открыты все удовольствия..

Lanwolf
Сервер терминалов... можно сделать все что угодно. Главное все это потом скрыть
То есть? Что сделать? И от кого скрыть? :)
Чтобы этим управлять недостаточно 2 папок, всем юзерам подавай личные папки для отчетов
Кроме тех двух у каждого, конечно, есть ещё своя в Documents And Settings. Правда, из-за моего недомыслия при установке W2K AS (железо у меня почти точь-в-точь твоё), а именно разбития дисков на RAID-контроллере на два логических (4,5 и 12 Гбайт), ими пока активно не пользуются. Да и вообще сервер терминалов у меня не для MS Office, а для бухг. программы.
В планах поголовный перевод клиентов на NT/2K/XP-платформу и создание перемещаемых профилей, размещённых на самих клиентах. Также есть идея временно сделать одного клиента вторым контроллером домена, дождаться, пока реплицируется AD, сохранить информацию с первого контроллера, переразбить диски и переустановить на нём систему и реплицировать AD на него обратно. Что можете по этому поводу сказать?
можно ограничить число машин с которых пользователь может войти на сервер
А как? Вроде не встречал такого. Хотя в моих условиях неактуально -- требуется возможность входа на сервер именно с каждой машины.
перекрываем всяким умникам доступ к консоли
Нет, ну мне всё-таки интересно -- если права у пользователей обрезаны как я описал, чем может быть опасен их доступ к консоли? :)

Raistlin
В папку C:\Winnt из Проводника не пробраться. IE к запуску не разрешён, FAR и CMD.EXE тоже.
А программа HackAny.exe разрешена?

Общее правило, если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит. Например, если у клиента есть право редактировать в HKCR ветки с обработчиками расширений оболочки - он его так отредактирует, что сможет выполнить код от имени вошедшего в систему привилегированного пользователя. А какую программу он использует для редактирования - не ума админа это дело, если такой программы еще нет, то она может быть легко создана и запущена, имя у нее может быть любое.

Еще, проверять защиту обязательно должен не тот, кто ее устанавливает.

Ну ладно, разбил в пух и прах :) Действительно, ведь любую программу переименовать в разрешённую можно.
Как же мне не дать пользователям пакостить? Все пользователи у меня члены группы "Пользователи домена". Что и где ещё можно ампутировать?
Да, C:\Winnt только на чтение открыта. Это тоже неэффективно?
Помогите, пожалуйста!

Raistlin
Даешь юзерам права на CMD.EXE, после чего объявляешь конкурс среди своих юзеров, кто получит админские права, приз - ботл пива. Потом это же пиво с юзеров стрести можно, просто нервы съэкономишь и работу перепоручишь :).

На чтение даешь C:\WINNT полностью кроме реестра, C:\Docs&Sett если старше NT и C:\Program Files, после чего садишься за тачку и смотришь, чего не работает, даешь опционально права. Также на реестр. Если так сделать, после этого не будешь удивляться, что посредством какого-нить AVP чуваки проги запускают (особенное внимание ктому, что с привилегиями работает, прежде всего - к сервисам). Процедура эта должна быть выполнена для незнакомого софта 1 раз, но качественно, после этого софт становится знакомым :).

Raistlin
Небольшое дополнение сервер терминалов предназначан для 1С, а офис висит в нагрузку (exel+word остальное не ставил т.к. возникают проблемы с распределением памяти).
Идея с переносом хорошая, но я бы сделал проще:
1. сохраняем на стриммере все
2. сносим все нафиг
3. восстанавливаем.

Вариант 2 (скоро быду воплощать в жизнь)

1 ИДЕ на него все сброшу (всю структуру данных пользователей), далее состояние системы, потом сносим WIN, (прошу заметить что на IDE 60 все сохранилось), устанавливаем систему с рейдом, восстанавливаем AD в режиме восстановления службы каталогов, раздаем права NTFS

Вроде все.

Единственное что придется потратить свой выходной т.к. фирму никто не позволит тормозить.

Одно ценное наблюдение.
Серваки что являются контроллерами доменов следует называть особо и навсегда.
При понижении роли сервера и дальнейшем переименовании с последующей установкой AD к нему не удается прилепить дополнительный контроллер он пишет что мол у администратора домена нет прав для создания дополнительного контроллера) хотя с правами у меня все ОК.
На 2 SP это присутствует,на 3SP еще не пробовал.


можно ограничить число машин с которых пользователь может войти на сервер

все очень просто.
В AD пользователи и компьютеры берем любого пользователя. на вкладке учетная запись жмем кнопку "ВХОД на" и задаем список машин.

vasketsov
после чего объявляешь конкурс среди своих юзеров
Мои юзеры третий день как с пальмы слезли. Они не то что ломать что-то -- они и проторенной дорожкой пройти не могут, чтобы на повороте не застрять. Вот если б тебя пригласить :)
На чтение даешь C:\WINNT полностью кроме реестра
Т. е. вполне достаточно, если реестр может читать только система?
Сейчас будет глупый вопрос... Где W2K хранит системный реестр? Поиски SYSTEM.DAT не дали результатов.
после чего садишься за тачку и смотришь, чего не работает, даешь опционально права
Вообще так и делалось. Я сначала неграм все права пообрубал, потом стал помаленьку добавлять.

Добавлено:

Lanwolf
Идея с переносом хорошая, но я бы сделал проще
Проще-то проще, только вот есть ли гарантия, что всё это заработает после обратного "заброса" на сервер? W2K -- это всё же не W98, которой по барабану, где её ставили и где теперь она работает.
1 ИДЕ на него все сброшу (всю структуру данных пользователей), далее состояние системы, потом сносим WIN, (прошу заметить что на IDE 60 все сохранилось), устанавливаем систему с рейдом, восстанавливаем AD в режиме восстановления службы каталогов, раздаем права NTFS
Хм... Не хватает знаний и умений. Как Active Directory сохранить на стороннем винчестере? И почему ты собираешься перераздавать права NTFS -- что, тот IDE-винчестер в FAT32 отформатирован?
Кстати, а с включением в домен нового сервера и репликацией AD есть подводные камни?
на вкладке учетная запись жмем кнопку "ВХОД на" и задаем список машин
Сначала речь шла о входе на сервер с определённых машин, а не на сами машины :)

Raistlin
проторенной дорожкой пройти не могут
Ну и расслабляйся тогда :beer: .

Т. е. вполне достаточно, если реестр может читать только система?
Нет, права на доступ надо выставить на реестр всем - изменение, системе и админам - полный, если будет "всем" меньше - может и не работать. Внутри, в реестре, свои права, их править через regedt32. В профиле еще есть Ntuser.dat и Ntuser.dat.log - к ним полные права системе, админам и юзеру.

Хранится он в System32/config в виде файлов без расширения, те что р расширениями - играют роль бэкапов в разных ипостасях.

Кстати, кто-нибудь пробовал -- при установленном SP3 фокус с отмоткой времени на 10 лет вперёд для лицензирования терминалов проходит или нет?

Добавлено:

vasketsov
права на доступ надо выставить на реестр всем - изменение
Хм... у меня к System32/config права доступа только у SYSTEM и Администраторов. У Операторов сервера и Прошедших проверку -- только на просмотр содержимого папки. И ничего... всё работает. Через regedt32 смотрю -- у Пользователей только на чтение права (так по умолчанию было, не менял).

Raistlin
IDE винт у меня NTFS.Как ни странно но такой "трюк" проходил двайды. только я буду переносить на резервный винт информацию без разрешений NTFS,

Система после понижения сервера до изолированного и последующего восстановления ведет себя очень интерестно.
Добавить еще контроллер я не могу т.к. мне говорят что прав мало!!!
Допишу позже

Raistlin
Я понял это на папку, а не на файлы, а я их имел в виду.
Если так работает - это нормально, в принципе, разные системы могут по разному их ставить, здесь речь может идти только о том, что при сносе прав на корневой ключ эти права будут распространны на него.

vasketsov
это на папку, а не на файлы
Я проверил -- на файлы без расширения там полное наследование. Доступ только у SYSTEM и Администраторов.
Lanwolf
я буду переносить на резервный винт информацию без разрешений NTFS
Почему?

Перераспределение схемы данных.

Права будут даны позже после установки новой "схемы".

Наша фирма растет и в начале мой предшественник не предусмотрел "перспективы роста", пришлось добавлять в AD подразделения для ясности структуры.
вскоре строимся и там будет новая сеть, соответственно надо запланировать и это.

Какой в W2K аналог IO.SYS в W9x -- ntldr? Аналог в том смысле, что важно его физическое расположение на диске. Хочу переустановить W2KAS на тот же винчестер. Ghost не подходит: так получилось (по недомыслию), что на 40-Гбайтном винчестере 1 раздел занимает всё дисковое пространство, а Windows сообщает, что у него размер 20 Гбайт (втупую скопировал раздел со старого 20-Гбайтного винчестера Ghost'ом, ну и получил в результате бардак).

смутно понимаю о чем идет речь...
т.к. проше все снести, разбить винт на 3 раздела 30%-70%-20% система - программы - архив, установить Win2k перенести данные и никаких заморочек.

Raistlin
Да все, в принципе, правильно, только но....
Берешь Partition Magic 7.0 или 8.0 и копируешь раздел, если система откажется то просто поверх устанавливаешь ее заново, и все. Тем же Partition Magic 7.0 или 8.0 можешь изменить размер раздела, и т.д.

asd_w
Боюсь, не выйдет: в существующем разделе неверна информация о его размере, так что копировать можно только пофайлово.
Guest
30%-70%-20%
:) Это в сумме 120 выходит. К тому же я убедился, что самое оптимальное -- один большой раздел.

Raistlin
извини 30-50-20.

Зачем мудрить с PMagic все снес затем поставил
1. Решена проблема с дефрагментацией диска
2. Нет головных болей как оно все будет дышать после "действа"

А насчет одного раздела, для диска в 10 гигов оно с самый раз, а когда их 30-120????

И делить надо мимнимум на 2 части, в идеале на 3, на 5 гиг положить систему, во второй раздел пишем все программы для юзеров, в третий самый маленький сливаем резервные копии, файлы состояния системы, сжатые личные папки Outlook-а ну и т.д.
На 1 разделе приинтенсивном использовании уровень дефрагментации растет очень быстро, особенно если размер файла подкачки выставлен автоматически.

Guest
И делить надо мимнимум на 2 части, в идеале на 3, на 5 гиг положить систему
Угу, и личные папки на нём по умолчанию расположены будут. Вручную переносить -- занятие утомительное, а способа поменять все пути разом я не нашёл.
На 1 разделе приинтенсивном использовании уровень дефрагментации растет очень быстро
Автозапуск дефрагментации на ночь, и нет проблем! :)

:) :)