[fantik]

появилась новая информация :




На сервере делаю папку. Присваиваю ей доступ только встроенной учетки админа (master). Разумеется, пользователь marketing там никоим боком не имеется. Расшариваю, опять же с правами ТОЛЬКО для master'а.

И marketing абсолютно безпроблемно заходит в эту папку с другого компа... Без пароля... Удручающе...

[xoxmodav]

Цитата:

Из них есть два, которые имеют пользователя marketing с локальными правами администратора, без пароля. Один в домене, другой нет. На сервере есть локальная запись marketing, она имеет права группы Users, в домене тоже есть, имеет те же права.

Что значит эта фраза? Объясни нормальным языком.

[fantik]

Цитата:

Что значит эта фраза? Объясни нормальным языком.

Объясняю:

На сервере (который в домене) есть папка. Есть встроенная учетная запись администратора (master). Есть локальный пользователь marketing в группе "Пользователи".
Есть компьютер, на котором человек сидит под логином marketing.

Так вот если я ставлю NTFS-права этой папке только master'у, расшариваю её с правами ТОЛЬКО для master'a, то marketing без проблем в неё входит и меняет что хочет.
То же самое с C$ и D$, с другими папками где есть master.

[xoxmodav]

Исходя из этого делаю вывод - на разных ПК имеются локальные учётные записи с пустым паролем и одинаковым именем. Проверка прав происходит не по доменному SID, а используя локальную идетификацию - если не ошибаюсь по имени и соотвествию пароля. Следовательно для твоего сервера локальный пользователь с именем "master" (и правами администратора на сервере) и пустым паролем приравнивается к локальной учётной записи "master" с пустым паролем другого ПК.

Интереса ради можешь им задать сначала одинаковый пароль и проверить права доступа, а затем разный и опять таки проверить. Результаты выкладывай здесь.

[fantik]

xoxmodav
Так оно и есть (я про идентификацию). НО !

Ведь на сервере учетная запись master c паролем, а на локальной машине - marketing без пароля, и при этом он беспрепятственно заходит.

[xoxmodav]

Цитата:

Из них есть два, которые имеют пользователя marketing с локальными правами администратора, без пароля. Один в домене, другой нет. На сервере есть локальная запись marketing, она имеет права группы Users, в домене тоже есть, имеет те же права.

Так исходя из твоих же слов на сервере есть и учётная запись marketing, имеющая административные привилегии и пустой пароль. Поведай нам, как ты задаёшь разрешения на сетевой ресурс.

[fantik]

Вот наглядная иллюстрация что и как:

[babki]

Может ты сождаешь папку под учетной записью marketing на сервере, а у тебя строят права создателя папки creator_owner (special permissions). Вот и он и пускает пользователя merketing в эту папку.....

[fantik]

babki
НЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕТ )

Я под мастером создаю, и ты прекрасно видишь, что никакого CREATOR_OWNER там нету