[Lanwolf]

Дело вот в чем. Сервер терминалов сам по себе вещь интересная, при желании можно сделать все что угодно. Главное все это потом скрыть.
Сервак - 2 Пня III по 1266, 1 гига памяти, 5 рейд (2диска по 18)+IDE 60(для всякого мусора от дизайнеров и т.д.). Это база для 1С. сети разделены физически т.ч. все кто бились головой об Firewall очень огорчены.
Видишь - скромно и со вкусом.
Чтобы этим управлять недостаточно 2 папок, всем юзерам подавай личные папки для отчетов и т.д., но эти гады иногда могут натворить такого что волосы шевелятся (приходится принимать меры...

По поводу доступа.

Тут я ошибся в формулировке. можно ограничить число машин с которых пользователь может войти на сервер.
Если он с бухгалтерии то на складе ему делать не фиг.Логично?...

Для всего серверного оборудования должна быть отдельная комната чтобы доступ к ней был только у админа (перекрываем всяким умникам доступ к консоли).

в моем случае (сервер терминалов) консоль и терминал отличаются одной важной деталью - с консоли я не могу управлять пользователями что находятся в терминале, а если я сам в терминале то открыты все удовольствия..

[Raistlin]

Lanwolf

Цитата:

Сервер терминалов... можно сделать все что угодно. Главное все это потом скрыть

То есть? Что сделать? И от кого скрыть?

Цитата:

Чтобы этим управлять недостаточно 2 папок, всем юзерам подавай личные папки для отчетов

Кроме тех двух у каждого, конечно, есть ещё своя в Documents And Settings. Правда, из-за моего недомыслия при установке W2K AS (железо у меня почти точь-в-точь твоё), а именно разбития дисков на RAID-контроллере на два логических (4,5 и 12 Гбайт), ими пока активно не пользуются. Да и вообще сервер терминалов у меня не для MS Office, а для бухг. программы.
В планах поголовный перевод клиентов на NT/2K/XP-платформу и создание перемещаемых профилей, размещённых на самих клиентах. Также есть идея временно сделать одного клиента вторым контроллером домена, дождаться, пока реплицируется AD, сохранить информацию с первого контроллера, переразбить диски и переустановить на нём систему и реплицировать AD на него обратно. Что можете по этому поводу сказать?

Цитата:

можно ограничить число машин с которых пользователь может войти на сервер

А как? Вроде не встречал такого. Хотя в моих условиях неактуально -- требуется возможность входа на сервер именно с каждой машины.

Цитата:

перекрываем всяким умникам доступ к консоли

Нет, ну мне всё-таки интересно -- если права у пользователей обрезаны как я описал, чем может быть опасен их доступ к консоли?

[vasketsov]

Raistlin

Цитата:

В папку C:\Winnt из Проводника не пробраться. IE к запуску не разрешён, FAR и CMD.EXE тоже.

А программа HackAny.exe разрешена?

Общее правило, если клиент, запустив cmd.exe (тут можно подставить любое имя, важен только запуск со своими правами), может напортачить, он напортачит. Например, если у клиента есть право редактировать в HKCR ветки с обработчиками расширений оболочки - он его так отредактирует, что сможет выполнить код от имени вошедшего в систему привилегированного пользователя. А какую программу он использует для редактирования - не ума админа это дело, если такой программы еще нет, то она может быть легко создана и запущена, имя у нее может быть любое.

Еще, проверять защиту обязательно должен не тот, кто ее устанавливает.

[Raistlin]

Ну ладно, разбил в пух и прах Действительно, ведь любую программу переименовать в разрешённую можно.
Как же мне не дать пользователям пакостить? Все пользователи у меня члены группы "Пользователи домена". Что и где ещё можно ампутировать?
Да, C:\Winnt только на чтение открыта. Это тоже неэффективно?
Помогите, пожалуйста!

[vasketsov]

Raistlin
Даешь юзерам права на CMD.EXE, после чего объявляешь конкурс среди своих юзеров, кто получит админские права, приз - ботл пива. Потом это же пиво с юзеров стрести можно, просто нервы съэкономишь и работу перепоручишь .

На чтение даешь C:\WINNT полностью кроме реестра, C:\Docs&Sett если старше NT и C:\Program Files, после чего садишься за тачку и смотришь, чего не работает, даешь опционально права. Также на реестр. Если так сделать, после этого не будешь удивляться, что посредством какого-нить AVP чуваки проги запускают (особенное внимание ктому, что с привилегиями работает, прежде всего - к сервисам). Процедура эта должна быть выполнена для незнакомого софта 1 раз, но качественно, после этого софт становится знакомым .

[Lanwolf]

Raistlin
Небольшое дополнение сервер терминалов предназначан для 1С, а офис висит в нагрузку (exel+word остальное не ставил т.к. возникают проблемы с распределением памяти).
Идея с переносом хорошая, но я бы сделал проще:
1. сохраняем на стриммере все
2. сносим все нафиг
3. восстанавливаем.

Вариант 2 (скоро быду воплощать в жизнь)

1 ИДЕ на него все сброшу (всю структуру данных пользователей), далее состояние системы, потом сносим WIN, (прошу заметить что на IDE 60 все сохранилось), устанавливаем систему с рейдом, восстанавливаем AD в режиме восстановления службы каталогов, раздаем права NTFS

Вроде все.

Единственное что придется потратить свой выходной т.к. фирму никто не позволит тормозить.

Одно ценное наблюдение.
Серваки что являются контроллерами доменов следует называть особо и навсегда.
При понижении роли сервера и дальнейшем переименовании с последующей установкой AD к нему не удается прилепить дополнительный контроллер он пишет что мол у администратора домена нет прав для создания дополнительного контроллера) хотя с правами у меня все ОК.
На 2 SP это присутствует,на 3SP еще не пробовал.

Цитата:

можно ограничить число машин с которых пользователь может войти на сервер

все очень просто.
В AD пользователи и компьютеры берем любого пользователя. на вкладке учетная запись жмем кнопку "ВХОД на" и задаем список машин.

[Raistlin]

vasketsov

Цитата:

после чего объявляешь конкурс среди своих юзеров

Мои юзеры третий день как с пальмы слезли. Они не то что ломать что-то -- они и проторенной дорожкой пройти не могут, чтобы на повороте не застрять. Вот если б тебя пригласить

Цитата:

На чтение даешь C:\WINNT полностью кроме реестра

Т. е. вполне достаточно, если реестр может читать только система?
Сейчас будет глупый вопрос... Где W2K хранит системный реестр? Поиски SYSTEM.DAT не дали результатов.

Цитата:

после чего садишься за тачку и смотришь, чего не работает, даешь опционально права

Вообще так и делалось. Я сначала неграм все права пообрубал, потом стал помаленьку добавлять.

Добавлено:

Lanwolf

Цитата:

Идея с переносом хорошая, но я бы сделал проще

Проще-то проще, только вот есть ли гарантия, что всё это заработает после обратного "заброса" на сервер? W2K -- это всё же не W98, которой по барабану, где её ставили и где теперь она работает.

Цитата:

1 ИДЕ на него все сброшу (всю структуру данных пользователей), далее состояние системы, потом сносим WIN, (прошу заметить что на IDE 60 все сохранилось), устанавливаем систему с рейдом, восстанавливаем AD в режиме восстановления службы каталогов, раздаем права NTFS

Хм... Не хватает знаний и умений. Как Active Directory сохранить на стороннем винчестере? И почему ты собираешься перераздавать права NTFS -- что, тот IDE-винчестер в FAT32 отформатирован?
Кстати, а с включением в домен нового сервера и репликацией AD есть подводные камни?

Цитата:

на вкладке учетная запись жмем кнопку "ВХОД на" и задаем список машин

Сначала речь шла о входе на сервер с определённых машин, а не на сами машины

[vasketsov]

Raistlin

Цитата:

проторенной дорожкой пройти не могут

Ну и расслабляйся тогда :beer: .

Цитата:

Т. е. вполне достаточно, если реестр может читать только система?

Нет, права на доступ надо выставить на реестр всем - изменение, системе и админам - полный, если будет "всем" меньше - может и не работать. Внутри, в реестре, свои права, их править через regedt32. В профиле еще есть Ntuser.dat и Ntuser.dat.log - к ним полные права системе, админам и юзеру.

Хранится он в System32/config в виде файлов без расширения, те что р расширениями - играют роль бэкапов в разных ипостасях.

[Raistlin]

Кстати, кто-нибудь пробовал -- при установленном SP3 фокус с отмоткой времени на 10 лет вперёд для лицензирования терминалов проходит или нет?

Добавлено:

vasketsov

Цитата:

права на доступ надо выставить на реестр всем - изменение

Хм... у меня к System32/config права доступа только у SYSTEM и Администраторов. У Операторов сервера и Прошедших проверку -- только на просмотр содержимого папки. И ничего... всё работает. Через regedt32 смотрю -- у Пользователей только на чтение права (так по умолчанию было, не менял).

[Lanwolf]

Raistlin
IDE винт у меня NTFS.Как ни странно но такой "трюк" проходил двайды. только я буду переносить на резервный винт информацию без разрешений NTFS,

Система после понижения сервера до изолированного и последующего восстановления ведет себя очень интерестно.
Добавить еще контроллер я не могу т.к. мне говорят что прав мало!!!
Допишу позже