Нет, нет! - все не так плохо. Дело в том, что нужно скрыть от админа не личные папки, а  конфиденциальные документы (таблицы ключевания, финансовые распоряжения и т.д., за разглашение которых башку оторвут именно владельцу машины - их даже админу смотреть категорически нельзя). А вся система организована так, что пользователь служебной машины заходит на нее именно как User со всеми вытекающими.

human
правила работы с секретными документами не позволяют держать их на машине с Windows NT, подключенной в сеть. Так что очень странно, что по таким документам кто-то по сетке шарится.

А вы хотите обрубить админа имея права юзера?
Ну можно конечно, только геморно, и все зависит от квалификации админа, и обязательно при условии, что он забывает дыры закрывать. Если удастся - можете его уволить.

Весь набор операций надо разделить на 2 отдельные части.
1-я - это получение необходимых прав для второй. Скажем, надо получить права админа. Для этого достаточно уметь запускать приложения от имени системной учетной записи. Одна из таких дыр, которую обычно не закрывают - это Центр управления от Касперского, с его помощью можно имея права юзера запустить задачу (musrmgr.exe или mmc.exe соответственно) под системной учетной записью. Еще модно подменять exe-шники или запускать последние эксплойты, типа DbgExploit.

Разберетесь с правами - будем дальше общаться.
Но вообще я настаиваю, что такие вещи решаются не запретом, а аудитом на доступ+административными мерами.

Я получил имя и пароль админа, какие мои действия дальше.

1) вырубаешь службы удаленного управления реестром и сервера.
2) прибиваешь в реестре административные шары C$, D$,...
3) идешь в политку безопасности, там запрещаешь администраторам доступ из сети.
4) ставишь файрвол, которым выборочно закрываешь порты 13* и 445, а также любую другую лазейку, которую для себя оставил администратор.

Как админ все может вернуть назад - не скажу. Но запомните, у администротора ВСЕГДА есть возможность все вернуть назад, как, впрочем, и у любого с физическим доступом к винчестеру, кроме случаев использования шифрования

Спасибо большое :)

они стоят по умолчанию на общий доступ,так вот как их отключить чтобы даже после перезагрузки к ним не было доступа

так как курсы начинающих телепатов я прогуливал, то надо в
[hklm\system\currentcontrolset\services\lanmanserver\parameters]
добавить 2 параметра
AutoShareWks:REG_DWORD=0
AutoShareServer:REG_DWORD=0

Привет всем! :rupor: Как сделать так чтобы винда 2000 не прошаривала вообще стандартные общие ресурсы? я понимаю что они только для админов, но всё равно не хочу чтобы они были у меня

Как мне кажется единственный путь - остановить службу Server. Тогда доступ к этим ресурсам будет закрыт.

что вообще за нежелание пользоваться поиском?

Wow! да мой запрос перенаправили на раннее обсуждение этой темы :up: Я бы воспользовался поиском, но только поиск не самый лучший тут. ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения, то было бы вобще круто :biggrin:
Спасибо за помощь :)

Andrewkras
ежели б он искал не по темам или описаниям, но и ещё в тексте самого сообщения
а он так и делает.
вводишь AutoShareWks - и VOILA.

vasketsov
AutoShareWks:REG_DWORD=0
для рабочих станций

аAutoShareServer:REG_DWORD=0
для серверов

Nik
ну так, вообще-то, но мне не жалко оба параметра написать, так надежнее:gigi:

Win98 Не видит расшареные ресурсы если в их имени имеется пробел. Теореоически к ним можно подключиться набрав ручками полный адрес (поверенно на принтерах).

Как расшарить понятно. Но как с паролем???
по запросу к ресурсу запрашивался пароль.

Просмотри пароль юзера на 98 и поставь соответствующий на папку, а насчет
Если есть ipx, то снеси его и спокойно расшаривай папки.
несогласен, у меня на обоих машинах он присутствует (только не надо сарказма, для работы надо, а то некоторые проги юзверей требуют) так ниче, на сервак в свои папки залетают без паролей.
wildman проверь учетные записи на обоих машинах.

Только что поставили домен. Опыта нет. Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр. Необходимость подключения к домену - почтовая и ряд аналогичных систем.

Guest
Не все рабочии станции (банк-системы) должны быть доступны с домена на просмотр
Что ты имеешь в виду? Закрой все ненужные шары и как ты говоришь: Не все рабочии станции (банк-системы) будут доступны с домена на просмотр...

Файловую систему на этих компах NTFS сделайте. Если уже FAT32, то можно воспользоваться утилитой convert.
Шары все закройте, как пишет Wolf. Удалите из локальных групп пользователей всех доменных пользователей и все доменные группы, кроме того доменного пользователя, кто будет работать за компом. Пароль его должен быть длинным и трудноугадываемым.

Для еще большей безопасности поставьте на эти станции персональный firewall, их много разных.
Можно еще зашифровать средствами NTFS какие-то директории или файлы.

По-моему не закроешь. Приоритет у сервера.