[vasketsov]

А можно подробно описать, что есть и что надо?
А то как понять закрыть от просмотра?

Сделай шару с знаком $ тоды её никто видеть не будет а те кому надо подключи как сетевой диск (net use) еще вариант через политику безопасности убери доступ кому не надо они просто ничего сделать не смогут.

Guest

Цитата:

По-моему не закроешь. Приоритет у сервера

Сервер не причем. Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите

[vasketsov]

Andrew Denny

Цитата:

Админ всегда сможет зайти

Неверно, для этого существуют файрволы.

Цитата:

Шару С$ не убъешь

Еще более неверно.

lepa

Цитата:

убери доступ кому не надо они просто ничего сделать не смогут

Если только не смогут попроавить эту самую политику.

vasketsov
Интерестно узнать как сможет пользователь домена без админовских прав поменять политику, ежели можа то прошу объяснить.

[vasketsov]

Вообще-то мне пока что неизвестна правильная формулировка задачи, потому распространять решение на админов или нет - тоже неизвестно.

[Guest]

Формулирую задачу:
Надо опровергнуть цитату: "Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите "
Определяющим здесь является то, что Админ - это не конкретный исполнитель, а тот кто обладает паролем Админа. В конкретной ситуации паролем обладает несколько людей. Дольше можно не объяснять.
Надо закрыть диски (или их часть) Раб Станции на просмотр, оставаясь в сети домена для работы с прикладными задачами.

Guest

Цитата:

Надо опровергнуть цитату

Васкецов здесь уже опровергнул некоторые моменты, но все равно, что-то здесь не так. Можно действительно закрыть машину файрволлом. Но его-то тоже нужно настроить и им управлять. Админ есть админ.

Цитата:

паролем обладает несколько людей

А вот это уже криминал. Один человек - один пароль. Это закон.
В конце концов можно удалить группу доменных админов из группы локальных (так ставится по умолчанию при вводе машины в домен) и прописать там одного конкретного админа - доменного или локального. И он будет управлять всеми правами и политиками на этой машине. Ну путь ответственный менеджер станет админом на этой машине, а заодно научится всей нашей премудрости . Или наймет локальное КГБ, и им будут платить за то, что они всех подозревают. Ну не бывает ИМХО по другому.

[vasketsov]

Andrew Denny

Цитата:

Один человек - один пароль. Это закон

Существуют определенные задачи, которые должны иметь возможность выполнять несколько человек и для которых необходимо поддерживать бесперебойность в работе. Пример - пароль рута на веб-сервере, должен храниться в сейфе, и возможность им пользоваться должна быть как минимум у того, кто в ДАННЫЙ МОМЕНТ отвечает за его работу - сегодня один дежурит, завтра другой.

Цитата:

Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите

1) зайти всегда сможет? нет, не всегда. локальный комп имеет свою политику безопасности, которая в данном случае должна отличаться от остальной политики. Локальный доступ блокируется элементарно, удаленный - тоже, остается только одна дыра - власть имеет тот, кто пишет логон-скрипт и правит профиль. Профиль делается локальным, логон-скрипт запрещается административно как класс (все равно там обычно только время правится). Если надо совсем жестко и жестоко - смотрим что за трафик по каким портам идет и выборочно натравливаем на них локальный файрвол (на котором запрещаем удаленное администрирование, и файером можно будет рулить только локально).

2) C$ убивается а) запрещением службы сервера, б) параметрами AutoShareWks и AuoShareServer соответственно. Для включения назад придется править удаленно реестр и запрещать удаленный доступ, что тоже решаемо. В конце концов, группы админов домена и юзеров домена выкидываются из всех локальных групп.

3) А что тут опровергать?

[J Fox]

vasketsov
Классно обьяснил!!! Доходчиво!!!
Andrew Denny
vasketsov прав C$ можно убить!!!