|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Прочее - Настройка ЛВС "Защита от пользователей" <Windows, Active Directory> |
|
|
Прочее - Настройка ЛВС "Защита от пользователей" <Windows, Active Directory>
|
|
Старожил Сообщения: 284 |
Помогите советом и делом, пожалуйста.
Исходные данные Домен, 150 компов, работаю с 30-40 компами (ХР и 2000, Server 2003) (т.е. нужно чтобы все изменения распространились только на них). Все права есть. Задача Настроить грамотно права и доступ к ресурсам Как я себе предсталяю На сервере - Создаю папку(имя папки=Названию отдела), куда имеют доступ только пользователи нужных мне компьютеров - Внутри папки Название отдела создаю Папки с именами Фамилия пользователей. Внутри еще две папки: для обмена с другими отделами (доступ всем полный), и для бэкапа данных с локального компа (доступ только одному пользователю) Пример: \Маркетинг \Иванов \Для обмена \Для бэкапа \Петров \Для обмена \Для бэкапа На локалке Прихожу к пользователю. Сохраняю все данные. Копирую их сразу в папку на сервак и на диск D (локальный диск) Ставлю всем чистую ОС с необходимыми программами (ну ясное дело из образа) --------------------- - Все пользователи, созданные на сервере) являются членами группы ПОЛЬЗОВАТЕЛИ ДОМЕНА - На локальных компах - естественно они входят в группу ПОЛЬЗОВАТЕЛИ (по умолчанию) --------------------- Что я хочу Запретить доступ к диску c:\. Т.к. 1) некоторые программы не требуют стандартных папок. А просто создают их на диске с:\ 2) Чтобы пользователь не мог сохранять данные на диск с:\, в том числе на рабочий стол. В итоге, единственное, что будет нужно при переустановке ОС - сохранить их папку МОИ ДОКУМЕНТЫ, да и то ее можно перенаправить на сетевую шару или на локальный диск D:\ Запретить создавать "шары" у себя на локальных компах. Есть мысли о запрете запуска исполняемых файлов, но тогда программы смогут запускаться, уже установленные? Вообщем мне все равно, что они сохранят на диск D. Мне все равно, что они скинут на свою сетевую шару (ну понятное дело, что большие мультимедийные файлы буду пресекать) У кого какие мысли по поводу такого построения сети? И как сделать вот эти вещи: Запретить доступ к диску c:\ (см. выше подробнее) Запретить создавать "шары" у себя на локальных компах. запрет запуска исполняемых файлов |
|
|
Отправлено: 12:21, 13-11-2009 |
Ветеран Сообщения: 675
|
Профиль | Отправить PM | Цитировать Цитата andrei.ru:
2. остановить на машине службу server 3. на форуме была тема про запрет исполняемых файлов. |
|
|
------- Отправлено: 14:34, 14-11-2009 | #2 |
|
Ветеран Сообщения: 738
|
Профиль | Отправить PM | Цитировать 1. В разрешениях нтфс убрать право записи для пользователей.
2. Разве пользователи, не имея прав администратора системы, могут расшаривать ресурсы? 3. Политика ограниченного использования программ. |
|
------- Отправлено: 22:26, 15-11-2009 | #3 |
|
Экзорцист Сообщения: 969
|
Профиль | Отправить PM | Цитировать andrei.ru, чтобы изменения касались только нужных пользователей - запихни их в отдельную OU.
По поводу общей шары - можно сделать по другому. Создать общую папку, в корне лежат именные и одна общая папка для обмена. К именной папке доступ личный и полный, к папке бэкапа - личный и только на запись (чтобы потом в случае пропажи бэкапа не слушать бредни о том , что "я не знал что это нужно, думал раз в моей папке, значит мое, а мне это не нужно поэтому удалил"). К папке обмена доступ у всех полный - чтение, запись и удаление. |
|
Отправлено: 00:06, 16-11-2009 | #4 |
|
Старожил Сообщения: 284
|
Профиль | Отправить PM | Цитировать Всем спасибо за помощь.
1) Доступ к диску с:\ перекрыли с помощью ntfs разрешений (очень удобно, по умолчанию доступ к профилю разрешен) 2) Да ресурсы расшаривать простой юзер не может 3)Пока еще не решил, стоит ли это делать? Какие проблемы могут возникнуть? А вообще какие общие мысли? Что еще можете посоветовать. Хочется чтобы сетка и компы работали без проблем. А если у пользователя будет минимум прав, чтобы что-то поменять, то и меньше вероятность, что Windows "заглючит" |
|
|
Отправлено: 08:59, 16-11-2009 | #5 |
|
Ветеран Сообщения: 738
|
Профиль | Отправить PM | Цитировать Цитата andrei.ru:
Цитата andrei.ru:
В общем все ограничивается только Вашей фантазией и здравым смыслом  з.ы. по моему немноголетнему опыту, работа по приципу "а дай ка я еще чего-нибудь эдакого сделаю...", заканчивалась крахом той или иной службы %) |
||
|
------- Отправлено: 11:16, 16-11-2009 | #6 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Разное - [решено] Как управлять "Начинать с экрана приветствия" или "Защита паролем" в св-вах заставки. | Alex Konovalov | Microsoft Windows 2000/XP | 12 | 17-05-2016 19:27 | |
| [решено] "Конфигурация пользователя" - "Конфигурация Windows" - "Настройка Internet Explorer" | ultrakiller | Microsoft Windows NT/2000/2003 | 6 | 28-09-2009 14:11 | |
| "Внести принтер в Active Directory" - польза или вред? | __sa__nya | Microsoft Windows NT/2000/2003 | 5 | 18-08-2008 13:24 | |
| [Ъ] Настройка сетевой защиты Windows XP SP2 в среде Active Directory | Fanzuga | Microsoft Windows NT/2000/2003 | 0 | 28-03-2008 10:35 | |
| [решено] Импорт/экспорт пользователей в Active Directory | UnDetect | Microsoft Windows NT/2000/2003 | 7 | 03-02-2006 11:33 | |
|
|
Время: 06:45. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
