PDA

Показать полную графическую версию : Контроллер домена


Forpost
14-10-2012, 22:48
Здравствуйте.
В сети есть компьютеры Windows XP Professional SP3, Windows 7 Ultimate.
Необходимо было создать пользователя, которому был бы запрещен доступ к реестру, просмотру через проводник разделов диска и т.д.
Для этих целей решили поднять контроллер домена, до этого, по правде сказать опыта работы с ним не имел.
Установил ОС, добавил роль DNS, контроллер домена, управления права Active Directory, создал юзера, для клиентский ос, клиентскую ОС (ХР), пока одну для работы, подключил к домену, и зашел под вновь созданным юзером.
Вопрос: как запретить доступ к реестру, правам на определенные директории в Windows Server'e 2012?

exo
14-10-2012, 22:55
Вопрос: как запретить доступ к реестру »
если пользователь не админ своего компа - доступа не будет.
правам на определенные директории в Windows Server'e 2012? »
например?

Forpost
14-10-2012, 23:02
если пользователь не админ своего компа - доступа не будет.
Не знаю, админ он или нет. Но пользователь, которого я создал на 2012 сервере, и потом уже на клиентской зашел имеет доступ к реестру.
правам на определенные директории в Windows Server'e 2012? »
Не правильно выразился. Непосредственно на самом сервере запретить права для определенных директорий на машинах клиентов, а не бегать на каждую машину и указывать права.

exo
14-10-2012, 23:12
потом уже на клиентской зашел имеет доступ к реестру »
доступ на чтение или изменения? Проверьте, админ он или нет. Зайдите в локальные "пользователи и группы" и проверьте.
для определенных директорий на машинах клиентов »
я и говорю - например?

Forpost
14-10-2012, 23:18
Зашел локально и пользователь числится администратором.
доступ на чтение или изменения
Пользователю запретить чтение, изменение. Однако, программам, которые запустил пользователь разрешить чтение и изменение.

1. Запретить просмотр всех директорий в проводнике, кроме тех, которые на рабочем столе.
2. Запретить изменение, удаление определенных ярлыков на рабочем столе.
И так далее.

exo
14-10-2012, 23:28
Пользователю запретить чтение, изменение. Однако, программам, которые запустил пользователь разрешить чтение и изменение. »
так не бывает. Программы запускаются от имени пользователя. Есои у него нет доступа - и у программ тоже не будет.
пользователь числится администратором »
локальный админ имеет доступ всюду, даже если запретить политиками - ему ничто не мешает их отключить, и получить доступ.

Давайте пойдём другим путём. Цель у вас какая? Почему хотите закрыть реестр и директории?

Forpost
14-10-2012, 23:37
так не бывает.
Бывает.
В Windows 7 для определенного пользователя в груп. политике я запретил доступ к реестру, однако, программы, которые он запускал - прекрасно сохраняли свои настройки в реестра, а также получали свою информацию из реестра.


локальный админ имеет доступ всюду, даже если запретить политиками - ему ничто не мешает их отключить, и получить доступ.
Опять же, в Win 7 для админа, через второго админа, запретил многое, в том числе и перечисленное выше. Сейчас пытаюсь тоже самое запретить только уже централизованно, как у людей)
Цель у вас какая?
Компьютер у пользователей в общем доступе. Они должны запустить приложения, сохранить файлы на рабочем столе, просмотреть файлы на раб. столе и всё :)
А второй пользователь админ, должен иметь полный доступ.

exo
14-10-2012, 23:56
программы, которые он запускал - прекрасно сохраняли свои настройки в реестра, а также получали свою информацию из реестра. »
а ну так это программы пишут в реестр данного пользователя. Это влияет только на него, а не на всю систему.Опять же, в Win 7 для админа, через второго админа, запретил многое »
ну вот первый админ может спокойно все права восстановить.

Компьютер у пользователей в общем доступе. Они должны запустить приложения, сохранить файлы на рабочем столе, просмотреть файлы на раб. столе и всё »
один компьютер? и ради него домен?
создайте локальных пользователей, настройте им профили, уберите из группы локальных администраторов. У них будет доступ только в "свой реестр", директории своего профиля. А программы уже настроены для всех. новые они не смогут установить (только для себя смогут, как Chrome, например)

Forpost
15-10-2012, 00:40
один компьютер? и ради него домен?
Сеть компьютеров.
ну вот первый админ может спокойно все права восстановить.
Пока никто не смог, за год с лишним работы :)
(только для себя смогут, как Chrome, например)
Нельзя) Даже запуск ехе,com,bat с рабочего стола нельзя запускать.

UPD.
Чуть-чуть разобрался.
Нашел gpmc.msc
Там создал новый объект политики, указал в фильтрах безопасности только юзернэйм клиента и групповой политике в разделе пользователя запретил в проводнике меню "файл", для проверки, вышел и зашел на ХРхе под этим клиентом. Но политика не сработала. В чем может быть проблема?

exo
15-10-2012, 11:19
В чем может быть проблема? »
в логах есть ошибки применения политики? покажите полностью все настройки. К какой OU привязана политика?

Forpost
15-10-2012, 14:25
Политика была создана 14.10 где-то в 23-30 .. 00-30
Однако, в логах, которые показывает диспетчер сервера, только это.

FORSERVER 8198 Ошибка Microsoft-Windows-Security-SPP Приложение 15.10.2012 13:14:26 (Сбой активации лицензий (slui.exe) со следующим кодом ошибки:)
FORSERVER 8198 Ошибка Microsoft-Windows-Security-SPP Приложение 15.10.2012 13:09:48
FORSERVER 1014 Предупреждение Microsoft-Windows-DNS Client Events Система 15.10.2012 13:09:43
FORSERVER 10154 Предупреждение Microsoft-Windows-Windows Remote Management Система 15.10.2012 13:09:33
FORSERVER 12 Предупреждение Microsoft-Windows-Time-Service Система 15.10.2012 13:09:32
FORSERVER 1014 Предупреждение Microsoft-Windows-DNS Client Events Система 15.10.2012 13:09:04
FORSERVER 10149 Предупреждение Microsoft-Windows-Windows Remote Management Система 15.10.2012 13:08:28
FORSERVER 10016 Ошибка Microsoft-Windows-DistributedCOM Система 15.10.2012 13:08:26
FORSERVER 8198 Ошибка Microsoft-Windows-Security-SPP Приложение 14.10.2012 19:27:20

покажите полностью все настройки.
Все настройки чего? И как их показать?
К какой OU привязана политика? Расшифруйте, пожалуйста, о чем идет речь и где это можно узнать?

UPD.
Разобрался.
Надо было связать вновь созданный объект с доменом.
Добавил связь с GPO и всё заработало. Честно сказать, теоретически не понял, что это за ГПО и почему без него не работало. Просто увидел, что дефолтные политики связаны с моим доменов в этом ГПО. Сделал и всё заработало. Объясните, пожалуйста, почему? :)

exo
15-10-2012, 15:19
Надо было связать вновь созданный объект с доменом. »
К какой OU привязана политика?
Расшифруйте, пожалуйста, о чем идет речь и где это можно узнать? »
вот про это я и имел ввиду.
Объясните, пожалуйста, почему? »
я не понял ваш вопрос.

Forpost
15-10-2012, 16:10
я не понял ваш вопрос.
Во-первых, как всё-таки расшифровывается OU.
Во-вторых, что такое ГПО, почему оно так важно? :)

Telepuzik
15-10-2012, 16:28
Во-первых, как всё-таки расшифровывается OU. »
Organizational unit (http://technet.microsoft.com/en-us/library/cc758565(v=ws.10).aspx)
Во-вторых, что такое ГПО, почему оно так важно? »
GPO(ГПО) - объект групповой политики (http://technet.microsoft.com/ru-ru/windowsserver/bb310732.aspx).

exo
15-10-2012, 16:52
Organizational unit »
добавлю, что на некоторые OU, вроде Users, Computers - политики не распространяются. Так что после создания пользователей и компьютеров их нужно переносить с свои OU.

Forpost
24-10-2012, 22:25
Здравствуйте.
Случился трабл, пришлось переустанавливать ОС.
Поставил 2012 сервер, установить роль домен котроллера, установил ДНС, добавил объект групповой политики, настроил его, связал с доменом.
Теперь на клиенте (XP Professional SP3) не применяется политика, время одинаковое на клиенте и сервере.
Gpresult:
Сведения: Объект политики не существует.

UPD.
Разобрался.
Странно, на клиенте при добавлении в домен DNS прописались 192.168.0.70 вместо 0.71.




© OSzone.net 2001-2012