Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - Настройка ЛВС "Защита от пользователей" <Windows, Active Directory>

Ответить
Настройки темы
Прочее - Настройка ЛВС "Защита от пользователей" <Windows, Active Directory>

Старожил


Сообщения: 230
Благодарности: 4

Профиль | Отправить PM | Цитировать


Помогите советом и делом, пожалуйста.

Исходные данные
Домен, 150 компов, работаю с 30-40 компами (ХР и 2000, Server 2003) (т.е. нужно чтобы все изменения распространились только на них). Все права есть.

Задача
Настроить грамотно права и доступ к ресурсам

Как я себе предсталяю
На сервере
- Создаю папку(имя папки=Названию отдела), куда имеют доступ только пользователи нужных мне компьютеров
- Внутри папки Название отдела создаю Папки с именами Фамилия пользователей. Внутри еще две папки: для обмена с другими отделами (доступ всем полный), и для бэкапа данных с локального компа (доступ только одному пользователю)
Пример:
\Маркетинг
\Иванов
\Для обмена
\Для бэкапа
\Петров
\Для обмена
\Для бэкапа
На локалке
Прихожу к пользователю. Сохраняю все данные. Копирую их сразу в папку на сервак и на диск D (локальный диск)
Ставлю всем чистую ОС с необходимыми программами (ну ясное дело из образа)
---------------------
- Все пользователи, созданные на сервере) являются членами группы ПОЛЬЗОВАТЕЛИ ДОМЕНА
- На локальных компах - естественно они входят в группу ПОЛЬЗОВАТЕЛИ (по умолчанию)
---------------------

Что я хочу
Запретить доступ к диску c:\.
Т.к.
1) некоторые программы не требуют стандартных папок. А просто создают их на диске с:\
2) Чтобы пользователь не мог сохранять данные на диск с:\, в том числе на рабочий стол.
В итоге, единственное, что будет нужно при переустановке ОС - сохранить их папку МОИ ДОКУМЕНТЫ, да и то ее можно перенаправить на сетевую шару или на локальный диск D:\

Запретить создавать "шары" у себя на локальных компах.
Есть мысли о запрете запуска исполняемых файлов, но тогда программы смогут запускаться, уже установленные?

Вообщем мне все равно, что они сохранят на диск D. Мне все равно, что они скинут на свою сетевую шару (ну понятное дело, что большие мультимедийные файлы буду пресекать)

У кого какие мысли по поводу такого построения сети?
И как сделать вот эти вещи:
Запретить доступ к диску c:\ (см. выше подробнее)
Запретить создавать "шары" у себя на локальных компах.
запрет запуска исполняемых файлов

Отправлено: 12:21, 13-11-2009

 

Аватара для slaine

Ветеран


Сообщения: 675
Благодарности: 8

Профиль | Отправить PM | Цитировать


Цитата andrei.ru:
Запретить доступ к диску c:\ (см. выше подробнее)
Запретить создавать "шары" у себя на локальных компах.
запрет запуска исполняемых файлов »
1. права restricted user можно применить к пользователю.
2. остановить на машине службу server
3. на форуме была тема про запрет исполняемых файлов.

-------
живодёр - практик


Отправлено: 14:34, 14-11-2009 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 738
Благодарности: 89

Профиль | Отправить PM | Цитировать


1. В разрешениях нтфс убрать право записи для пользователей.
2. Разве пользователи, не имея прав администратора системы, могут расшаривать ресурсы?
3. Политика ограниченного использования программ.

-------
Бараш.


Отправлено: 22:26, 15-11-2009 | #3


Экзорцист


Сообщения: 957
Благодарности: 124

Профиль | Отправить PM | Цитировать


andrei.ru, чтобы изменения касались только нужных пользователей - запихни их в отдельную OU.
По поводу общей шары - можно сделать по другому. Создать общую папку, в корне лежат именные и одна общая папка для обмена. К именной папке доступ личный и полный, к папке бэкапа - личный и только на запись (чтобы потом в случае пропажи бэкапа не слушать бредни о том , что "я не знал что это нужно, думал раз в моей папке, значит мое, а мне это не нужно поэтому удалил").
К папке обмена доступ у всех полный - чтение, запись и удаление.

Отправлено: 00:06, 16-11-2009 | #4


Старожил


Сообщения: 230
Благодарности: 4

Профиль | Отправить PM | Цитировать


Всем спасибо за помощь.
1) Доступ к диску с:\ перекрыли с помощью ntfs разрешений (очень удобно, по умолчанию доступ к профилю разрешен)
2) Да ресурсы расшаривать простой юзер не может
3)Пока еще не решил, стоит ли это делать? Какие проблемы могут возникнуть?

А вообще какие общие мысли? Что еще можете посоветовать.
Хочется чтобы сетка и компы работали без проблем. А если у пользователя будет минимум прав, чтобы что-то поменять, то и меньше вероятность, что Windows "заглючит"

Отправлено: 08:59, 16-11-2009 | #5


Ветеран


Сообщения: 738
Благодарности: 89

Профиль | Отправить PM | Цитировать


Цитата andrei.ru:
Пока еще не решил, стоит ли это делать? Какие проблемы могут возникнуть? »
Стоит.Проблемы.... не будет возможности играть в игры и запускать "левые" программы, приносимые из дома на флешке.
Цитата andrei.ru:
А вообще какие общие мысли? Что еще можете посоветовать.
Хочется чтобы сетка и компы работали без проблем. А если у пользователя будет минимум прав, чтобы что-то поменять, то и меньше вероятность, что Windows "заглючит" »
Проблемы надо решать по мере их поступления. в том смысле, что необходимый функционал нужно добавлять по мере необходимости. Разработайте схему резервного копирования и восстановления, на случай сбоя. Поднимите сервис WSUS для обновления ОС на рабочих станциях и серверах. Составте документацию на сеть.
В общем все ограничивается только Вашей фантазией и здравым смыслом

з.ы. по моему немноголетнему опыту, работа по приципу "а дай ка я еще чего-нибудь эдакого сделаю...", заканчивалась крахом той или иной службы %)

-------
Бараш.


Отправлено: 11:16, 16-11-2009 | #6



Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - Настройка ЛВС "Защита от пользователей" <Windows, Active Directory>

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - [решено] Как управлять "Начинать с экрана приветствия" или "Защита паролем" в св-вах заставки. Alex Konovalov Microsoft Windows 2000/XP 12 17-05-2016 19:27
[решено] "Конфигурация пользователя" - "Конфигурация Windows" - "Настройка Internet Explorer" ultrakiller Microsoft Windows NT/2000/2003 6 28-09-2009 14:11
"Внести принтер в Active Directory" - польза или вред? __sa__nya Microsoft Windows NT/2000/2003 5 18-08-2008 13:24
[Ъ] Настройка сетевой защиты Windows XP SP2 в среде Active Directory Fanzuga Microsoft Windows NT/2000/2003 0 28-03-2008 10:35
[решено] Импорт/экспорт пользователей в Active Directory UnDetect Microsoft Windows NT/2000/2003 7 03-02-2006 11:33




 
Переход