сетка с ADS (Active Directory Service) меня не устраивает что наш главный админ может консолью mmc
зайти ко мне на машину (Win200 Server и Win2000 prof) и запустить сервисы расшарить диски и т.п., как это запретить? |
SergePV
Цитата:
админ - на то и админ, чтобы иметь право так делать. теоретически можно и MMC запретить, и доступ к сервисам, но с такими запросами надо идти работать как раз главным админом. ну да ладно. кое-чего (про MMC, например) у меня есть на сайте, кое чего можно сделать через права доступа к реестру (RegEdt32). Только учти. Система безопасности NT построена таким образом, что даже если ты чего-то запретишь администратору, он все равно сможет это исправить. Запретил вход - не беда, он берет и правит политику. Выставил RestrictRun - он берет в руки реестр и правит его КАК ХОЧЕТ. А потом вставляет тем, кто занимается не своим делом. |
это никак не запретишь, т.к администратор домена имеет доступ ковсем машинам (и их ресурсам) домена
|
vasketsov
Цитата: это исключительно твои проблемы. мда... а тебе самому понравиться если кто-то пусть даже тот - же админ начнет смотреть или просто утащит файлы которые ТОЛЬКО ТВОИ и касаются ИСКЛЮЧИТЕЛЬНО тебя ?, причём заметь даже если у тебя стоит PGP диск то ему можно на тот момент когда он смонтирован в системе, тоже подключить его т.е. получается НИКАКОЙ конфиденциальности? Собственно я для того и задавал вопрос ... а вообще спасибо за ответvasketsov vasketsov |
SergePV
Цитата:
|
vasketsov
Цитата можно сделать через права доступа к реестру (RegEdt32).... Сайт что надо, но где найти эти права доступа к реестру? да и будут ли они работать если упраляет он машиной дистанционно... Добавлено: Denny Это корпоративная политика. "Только твои" - это только у тебя дома. Экспериментировать никто не собирается, и с одной стороны с "корпоративной политикой" я согласен но дело в том что я сам аминистрирую SQL Server 2000 и делать могу многое, вопрос состоит не в этом... |
не столько совет, сколько предположение
поставь файрвол, и закрой 139й порт. |
SergePV
Цитата:
у меня же написано как MMC запрещать. |
:biglaugh:
Всем Огромное спасибо за ответы и дискуссию. В опциях сети разрешил только определенные порты, запретил по совету vasketsov MMC, плюс по совету The Antihero поставил ATGuard, собственно удаленное управление пропало после разрешения только определенных портов. Тема закрыта. |
SergePV
Цитата:
Цитата:
Не может он нормально работать на NT. Ставь Kerio или NIS. |
SergePV
Слушай vasketsov'а...НИС перекупил Этгард........Этгард не пашет под НТ |
НУ админу ты не как по перек дороги не станеш и вообще то это очень страно когда пользователь пытается закрыться от администратора :o . Если ты просто ставиш перед собой цель заныкать у себя на винте или в \НОМЕ_folder Что то личное то тебе все карты в руки можно закриптовать, для этого есть и стандартные средства и стороний софт.
-=типа цитата=- запустить сервисы - та на здоровье пусть запускает сколько хочет. расшарить диски - я так понимаю что если админ разшаривает диски то это он делает для кого-то так как сам он может и так посмотреть что у тебя там, в таком случае можно просто поинтересоваться зачем и кому (как ни как с машины на которой ты работаеш). Если что то интересует пиши keeper@autotex.dp.ua |
Время: 13:40. |
Время: 13:40.
© OSzone.net 2001-