сетка с ADS (Active Directory Service) меня не устраивает что наш главный админ может консолью mmc
зайти ко мне на машину (Win200 Server и Win2000 prof) и запустить
сервисы расшарить диски и т.п., как это запретить?

SergePV
это исключительно твои проблемы.
админ - на то и админ, чтобы иметь право так делать.
теоретически можно и MMC запретить, и доступ к сервисам, но с такими запросами надо идти работать как раз главным админом.

ну да ладно.
кое-чего (про MMC, например) у меня есть на сайте, кое чего можно сделать через права доступа к реестру (RegEdt32).

Только учти. Система безопасности NT построена таким образом, что даже если ты чего-то запретишь администратору, он все равно сможет это исправить. Запретил вход - не беда, он берет и правит политику. Выставил RestrictRun - он берет в руки реестр и правит его КАК ХОЧЕТ.
А потом вставляет тем, кто занимается не своим делом.

это никак не запретишь, т.к администратор домена имеет доступ ковсем машинам (и их ресурсам) домена

vasketsov
Цитата:

это исключительно твои проблемы.

мда...
а тебе самому понравиться если кто-то пусть даже тот - же админ
начнет смотреть или просто утащит файлы которые ТОЛЬКО ТВОИ и касаются ИСКЛЮЧИТЕЛЬНО тебя ?, причём заметь даже если у тебя стоит PGP диск то ему можно на тот момент когда он смонтирован в системе, тоже подключить его т.е. получается НИКАКОЙ конфиденциальности?
Собственно я для того и задавал вопрос ...
а вообще спасибо за ответvasketsov
vasketsov

SergePV

"Только твои" - это только у тебя дома. Поставь себя на место админа. Может ты какую инфу из фирмы сливаешь конкурентам? Или просто используешь служебные ресурсы в каких-то известных только тебе интересах. Больше скажу, если начнешь экспериментировать, админ так сможет зарезать права, что будешь только иметь права Notepad открывать без сохранения данных ;) Это корпоративная политика.

vasketsov
Цитата
можно сделать через права доступа к реестру (RegEdt32)....

Сайт что надо, но где найти эти права доступа к реестру?
да и будут ли они работать если упраляет он машиной дистанционно...

Добавлено:

Denny
Это корпоративная политика.
"Только твои" - это только у тебя дома.

Экспериментировать никто не собирается, и с одной стороны с "корпоративной политикой" я согласен но дело в том что я сам аминистрирую SQL Server 2000 и делать могу многое, вопрос состоит не в этом...

не столько совет, сколько предположение
поставь файрвол, и закрой 139й порт.

SergePV
в самом RegEdt32. в менюхе Security:gigi:
у меня же написано как MMC запрещать.

:biglaugh:
Всем

Огромное спасибо за ответы и дискуссию.

В опциях сети разрешил только определенные порты,
запретил по совету vasketsov MMC,
плюс по совету The Antihero поставил ATGuard,
собственно удаленное управление пропало после разрешения только определенных портов.

Тема закрыта.

SergePV
ну так если порты закрыл, mmc то причем?
убивать надо ATGuard.
Не может он нормально работать на NT.
Ставь Kerio или NIS.

SergePV
Слушай vasketsov'а...НИС перекупил Этгард........Этгард не пашет под НТ

НУ админу ты не как по перек дороги не станеш и вообще то это очень страно когда пользователь пытается закрыться от администратора :o . Если ты просто ставиш перед собой цель заныкать у себя на винте или в \НОМЕ_folder Что то личное то тебе все карты в руки можно закриптовать,  для этого есть и стандартные средства и стороний софт.

-=типа цитата=-

запустить сервисы - та на здоровье пусть запускает сколько хочет.
расшарить диски - я так понимаю что если админ разшаривает диски то это он делает для кого-то так как сам он может и так посмотреть что у тебя там, в таком случае можно просто поинтересоваться зачем и кому (как ни как с машины на которой ты работаеш).

Если что то интересует пиши
keeper@autotex.dp.ua