Актив Директори. Раздача прав удаленным пользователям.
 

Добрый день! Такая проблема: на серваке стоит windows 2003. не могу ограничить права удаленным пользователям! Получается что любой пользователь имеет полный доступ к настройкам сервера, а это не допустимо! Дошло до того, что даже удаленный Гость может удалять что хочет! файлы папки программы, что угодно! в чем проблема? Подскажите как раздать права!!???

ProC, вы о чём речь ведёте? О доступе к настройкам или к файлопомойке?
Хоть мало-мальски имеете представление о разграничении доступа?

Я веду речь конкретно о доступе к серверу, что стоит на др конце города! ето не файловик! Дело в том. что компы, стоящие в офисе все целиком на убунту! но менеджеры что на них должны работать используют ехе-ные базы данных! логично, что ехе на убунту не работает! шеф загорелся идеей удаленного сервака с базами. к которым коннектятся менеджеры и единственное что они должны делать ето запускать ети екзешники! я сделал пользователей разрешил их для удаленного конекта (RDP) но эти пользователи все еще могут "хозяйничать" на сервере! мне нужно обрезать им права! но никак не могу етого сделать! у них стоят гостевые права при коннекте, сами они в гостевом домене, некоторые из них уже - скопированные гости! но никакого еффекта от етого "обрезания" прав нет! удаляют устанавливают и тд и тп!

Цитата:

Цитата ProC используют ехе-ные базы данных

Улыбнуло. :)

Ну, вот, теперь у нас домен появился... Рассказывайте, как и что настраивали. Подробно, ибо телепаты в отпуске. А то "завёл пользователей", "гостевой домен" - разговор ни о чём.

Angry Demon, ошибку понял! исправимся! =))
но по сути я не сильно много могу добавить - сервак достался "по наследству", ето обычный сервер терминалов, с но-айпи для связи... пользователей я добавлял в ручную непосредственно через "подключения" в Terminal service configuration (tscc)... у пользователей в tscc везде стоит галочка доступ гостя... а сами они из domain users... режим работы домена win 2000... :sorry:
ЗЫ в такие моменты понимаешь как же они необходимы.... ехх....телепааты..

ProC, доменные пользователи не являются ли, часом, локальными администраторами на сервере терминалов?

я бы спросила так:
а не являетс яли оные сервер терминалов контроллером домена случаем? :)
ну и надо смотреть в АД кто входит в группы
администраторы домена
администраторы предприятия

Я тоже так думал! и смею вас заверить нет! по началу они ими являлись! но я убрал все присутствия администраторского духа в их групах! там только юзеры! да и момент с Гостем не клеится! он то точно не является администратором! да вроде все уже ето пересмотрел перелопатил... ща еще раз просмотрю...

ProC,
покажите вывод "whoami /all" выполненной под любым проблемным пользователем на этом сервере.

Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Documents and Settings\User7>whoami /all

USER INFORMATION
----------------

User Name SID
========== ============================================
appz\user7 S-1-5-21-434577811-2803299305-331869185-1141


GROUP INFORMATION
-----------------

Group Name Type SID
Attributes

========================================== ================ ====================
======================== =======================================================
========
Все Well-known group S-1-1-0
Mandatory group, Enabled by default, Enabled group

APPZ\Компьютеры сервера терминалов Alias S-1-5-21-434577811-2
803299305-331869185-1161 Mandatory group, Enabled by default, Enabled group

BUILTIN\Users Alias S-1-5-32-545
Mandatory group, Enabled by default, Enabled group

BUILTIN\Administrators Alias S-1-5-32-544
Mandatory group, Enabled by default, Enabled group, Gro
up owner
BUILTIN\Pre-Windows 2000 Compatible Access Alias S-1-5-32-554
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\REMOTE INTERACTIVE LOGON Well-known group S-1-5-14
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\ИНТЕРАКТИВНЫЕ Well-known group S-1-5-4
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\Прошедшие проверку Well-known group S-1-5-11
Mandatory group, Enabled by default, Enabled group

NT AUTHORITY\Данная организация Well-known group S-1-5-15
Mandatory group, Enabled by default, Enabled group

ЛОКАЛЬНЫЕ Well-known group S-1-2-0
Mandatory group, Enabled by default, Enabled group

APPZ\Компьютеры сервера терминалов Alias S-1-5-21-434577811-2
803299305-331869185-1161 Mandatory group, Enabled by default, Enabled group



PRIVILEGES INFORMATION
----------------------

Privilege Name Description
State
=============================== ================================================
============== ========
SeChangeNotifyPrivilege Bypass traverse checking
Enabled
SeSecurityPrivilege Manage auditing and security log
Disabled
SeBackupPrivilege Back up files and directories
Disabled
SeRestorePrivilege Restore files and directories
Disabled
SeSystemtimePrivilege Change the system time
Disabled
SeRemoteShutdownPrivilege Force shutdown from a remote system
Disabled
SeTakeOwnershipPrivilege Take ownership of files or other objects
Disabled
SeDebugPrivilege Debug programs
Disabled
SeSystemEnvironmentPrivilege Modify firmware environment values
Disabled
SeSystemProfilePrivilege Profile system performance
Disabled
SeProfileSingleProcessPrivilege Profile single process
Disabled
SeIncreaseBasePriorityPrivilege Increase scheduling priority
Disabled
SeLoadDriverPrivilege Load and unload device drivers
Disabled
SeCreatePagefilePrivilege Create a pagefile
Disabled
SeIncreaseQuotaPrivilege Adjust memory quotas for a process
Disabled
SeUndockPrivilege Remove computer from docking station
Disabled
SeManageVolumePrivilege Perform volume maintenance tasks
Disabled
SeImpersonatePrivilege Impersonate a client after authentication
Enabled
SeCreateGlobalPrivilege Create global objects
Enabled
SeEnableDelegationPrivilege Enable computer and user accounts to be trusted
for delegation Disabled
SeMachineAccountPrivilege Add workstations to domain
Disabled

C:\Documents and Settings\User7>