Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Траблы с GPO
Показать сообщение отдельно
mb


Сообщения: n/a

Профиль | Цитировать

Sj

Значит так.
Первое - все пользователи - это domain user - и не больше!! - запомни это как отче наш! и отступать от этого правила можно только тогда, когда начнешь что-то *понимать в *политиках безопасности,
но не сейчас.
Затем- делаешь каждого пользователя, администратором на своей машине (т.н. "Локальный админ" (это можно сделать локально или централизованно  - написав скрипт - об этом ниже), затем в домене создаешь OU и включаешь(перемещаешь!) туда всех этих юзеров. *Привязываешь к этому unit - политику, где в "Конфигурации *пользователя- административные шаблоны - виндовс компонент-Microsoft *Management Console"- по самое не хочу, урезаешь возможности управления машиной - в том числе и невозможность, не то что изменения, но и даже просмотра локальной политики, диспетчера устройств, управления дисками, сервисами и тд. Там же - под административными шаблонами в разделе Network можно запретить всё, что касается сетевых наcтроек. После того как создашь всё это зверство - не забудь в настройках политики указать - "не перекрывать", чтобы она не переписалась локальной политикой
После этого для пользователей *жизнь медом не покажется! Так им и надо!

И еще- чтобы особо умные пользователи не вошли локально (т.е. не в домен) и по злобе не выкинули domain admins из локальной группы Администраторы - советую поменять им всем пароли на аккоунт "администратор". *Это можно сделать локально, либо написав скрипт ("net user администратор newpassword" и назначить его для выполнения в той же групповой политике, причем уже не для пользователей, а для машин.
Теперь пользователь сможет войти только с доменным аккоунтом, имеющим привилегии локального админа и *для которого мы обрезали все возможные права. что и требуется в большинстве случаев.
И никаких доменных админов! кроме себя любимого, естесственно.

И еще пару слов. Всё вышеописанное работате в среде домена W2000 (w2003 тоже конечно), где клиентами выступают машины с w2k&XP и режим - native mode
Это не означает, что, например с клиентами NTws или в mixed моде , ничего работать не будет. Просто в таких случаях потребуется дополнительная настройка и не все будет достижимо без использования ресурс кита.
Тоже самое касается и клиентов W9# , но там уже все совсем по-другому


[s]Исправлено: mb, 23:23 21-03-2004[/s]

Отправлено: 23:22, 21-03-2004 | #4

Название темы: Траблы с GPO