Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Запретить подключение к серверу локальных пользователей

Ответить
Настройки темы
Запретить подключение к серверу локальных пользователей

Пользователь


Сообщения: 101
Благодарности: 0

Профиль | Отправить PM | Цитировать


Есть домен под 2000. В нём сервер (2003) с SQL и прикладным ПО (клиент-серверная архитектура). На пользовательских машинах, соответственно, клиентская часть приложения. Как сделать что бы пользователи не могли работать с СУБД-ным сервером если на своих машинах они вошли локально? Т.е. вошёл под доменной учёткой - можешь работать с прикладным ПО, вошёл локально - подключиться к серверу с ПО не сможешь.

Отправлено: 00:11, 25-07-2008

 

Аватара для Delirium

Ветеран


Сообщения: 5625
Благодарности: 935

Профиль | Отправить PM | Цитировать


Скорее всего никак. Ведь пользователь имеет право работать с сетью, даже зайдя локально. Он сможет ввести доменные имя-пароль и продолжать работать. Встречный вопрос: а как это пользователи заходят локально? У них есть админские права при входе локально? И что, на каждой машине созданы учетки для локального входа? Мне кажется, проблему надо по другому как то решать.

-------

Пройденные курсы:
[Microsoft №10174 Sharepoint], [SharePoint]
Мои проекты:[CheckAdmins], [NetSend7], [System Uptime], [Remote RAdmin LogViewer],[Netdom GDI], [Holidays - напоминалка о днях рождения]

А я офис-гуру :)


Отправлено: 04:13, 25-07-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Googler


Сообщения: 3665
Благодарности: 1562

Профиль | Отправить PM | Цитировать


Vi-P

Для этого приложение должно поддерживать Windows-авторизацию, при этом все права на SQL назначаются через доменные учетки. Соответственно, никого кроме явно назначенных пользователей на SQL не пустит.

Если приложение поддерживает только SQL-авторизацию (учетки заводятся на самом SQL) или у приложения своя система допуска, то мутить придется на станциях, варианты:

- запуск клиента БД через враппер (скриптовую оболочку), который проверяет режим входа и запускает само приложение;
- через политики ограничить права на запуск программы - клиента БД.

Отправлено: 04:41, 25-07-2008 | #3


Пользователь


Сообщения: 101
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата Delirium:
Встречный вопрос: а как это пользователи заходят локально? »
Да вот бывает такое иногда в этой жизни На самом деле рабочие места места находятся весьма удалённо (другие сетки, другие тер.площадки), разные ОС ... и решить проблему путём, например, удаления всех встроенных учёток через GP или запрета на локальный вход юзерам не удасться.

Цитата amel27:
или у приложения своя система допуска »
Именно. Своя система аутентификации. А через сервис "доступ к компьютеру по сети" ничего не добиться?

Цитата amel27:
запуск клиента БД через враппер (скриптовую оболочку), который проверяет режим входа и запускает само приложение »
Долгая песня. Надо выставлять техзадание разработчику на доработку.

Отправлено: 21:54, 25-07-2008 | #4


Аватара для Delirium

Ветеран


Сообщения: 5625
Благодарности: 935

Профиль | Отправить PM | Цитировать


Цитата Vi-P:
Долгая песня. Надо выставлять техзадание разработчику на доработку. »
Что то я не пойму, если приложение SQL-ное, то почему нельзя сделать SQL авторизацию и снять проблему? или необходимо использовать доменную авторизацию?

-------

Пройденные курсы:
[Microsoft №10174 Sharepoint], [SharePoint]
Мои проекты:[CheckAdmins], [NetSend7], [System Uptime], [Remote RAdmin LogViewer],[Netdom GDI], [Holidays - напоминалка о днях рождения]

А я офис-гуру :)


Отправлено: 09:40, 27-07-2008 | #5


Старожил


Сообщения: 401
Благодарности: 43

Профиль | Отправить PM | Цитировать


что то непонятный вопрос! какая разница от имени какой учётки работатет удалённый пользователь если к серверу он подключаеться от имени или виндовой учётки(это я так понял не в нашем случае) или серверной учётки? немогу понять вопрос! например:

у нас в SQL(смешаная авторизация) есть несколько учёток\групп для отделов, каждый отдел подкл к серверу со своей учёткой и только туда куда ей можно. на сервере крутиться 1С. в ней дополнительная авторизация уже по персональному логину\паролю. чтобы пользователь не сделал он это сделает от своего имени(1С) и только там где можно данной учётке\группе(SQL) в не зависимости от прав на локальной машине.

не имеет значения какие права на локальной машине у пользователя, на сервере он получит лишь те права которые предусмотрены той или иной учёткой\группой. вот и фсё.)

з.ы. так что вопрос мне лично непонятен. какую цель преследует автор? зависимость локальных прав от возможности на СУБД ненаблюдаю.

з.з.ы. решение вопроса терминал - тут без вариантов.)

з.з.з.ы.
Цитата Vi-P:
А через сервис "доступ к компьютеру по сети" ничего не добиться? »
- возможно это только к шарам, SQL может и пустить. и это не сервис а параметр безопасности. попробуй - отпишись.)

-------
правильно сформулированный вопрос уже содержит половину ответа.)


Отправлено: 17:00, 27-07-2008 | #6


Googler


Сообщения: 3665
Благодарности: 1562

Профиль | Отправить PM | Цитировать


Цитата Vi-P:
Долгая песня. Надо выставлять техзадание разработчику на доработку »
как раз наоборот - это несложно сделать самим если разработчики не идут навстречу, вот простой пример враппера на CMD:
Код: Выделить весь код
If %UserDomain%==MyDomain Start "MyApp" /D"%ProgramFiles%\MyApp" "MyApp.exe"
Аналогичное можно сделать на WSH, AutoIT и любых других скриптовых языках... Другое дело, что это не является полноценным решением и его легко обойти, запустив приложение напрямую, но для рядовых пользователей этого часто хватает.

Еще вариант - проверять параметры процесса сразу после его запуска и насильно закрывать, если он создан не тем пользователем. С точки зрения безопасности это решение предпочтительней, так как скрипт может выполняться под SYSTEM, но не очень красиво с точки зрения пользователя и не для любых приложений (нужно тестировать).

Отправлено: 10:02, 28-07-2008 | #7



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » Запретить подключение к серверу локальных пользователей

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Интернет - сетевой интерфейс локальных пользователей Valmont Microsoft Windows Vista 0 24-12-2009 10:32
Проблема с сеансами локальных пользователей pil0tik Microsoft Windows NT/2000/2003 13 23-04-2009 10:52
Разное - [решено] Как получить список локальных пользователей ZlojMyX Microsoft Windows 2000/XP 1 16-03-2009 11:16
Как восстановить локальных пользователей? dia1000 Microsoft Windows NT/2000/2003 3 24-02-2009 00:07
Группа локальных пользователей NordWest Microsoft Windows NT/2000/2003 7 06-04-2006 15:48




 
Переход