[решено] Права доступа к общим ресурсам в домене

Angry Demon · Отправлено: **08:29, 10-09-2008** | #2

HHHH, раз пользователь домена, значит, и разрешения на ресурс отрабатываются применительно к пользователю домена. В чём проблема-то?

HHHH · Отправлено: **09:03, 10-09-2008** | #3

Проблема в следующем: К ресурсу должны иметь доступ все пользователи домена. На предприятии есть пользователи, которые сносят ПО лицензионное, установленное официально (эти рабочие станции всегда прописаны в домене) и устанавливают свое все, чего им пожелается. Политика предприятия такова, что пользователи не могут быть администраторами на своих рабочих станциях - отсюда и желание снести ОС. В домен сами они , как Вы понимаете, прописаться не могут. Но доступ к ресурсам имеют при наличии учетной записи пользователя домена.
Поэтому возникла необходимость выявлять таковых при помощи запрета доступа к сетевым ресурсам. То есть, ограничить права пользователю домена, который зарегистрировался с рабочей станции, не прописанной в домене.

Другими словами, один и тот же пользователь домена должен иметь доступ к ресурсу, если он зарегистрировался на рабочей станции, прописанной в домене и не иметь туда доступ, если он подключается к этому ресурсу с рабочей станции, не прописанной в домене.

d petr · Отправлено: **20:04, 10-09-2008** | #4

HHHH, если машин в домене не много, то можно в свойствах пользователя, под которым происходит вход в сеть, прописать вход только с определенных компьютеров.

El Scorpio · Отправлено: **04:31, 11-09-2008** | #5

Цитата HHHH:

В домен сами они , как Вы понимаете, прописаться не могут. Но доступ к ресурсам имеют при наличии учетной записи пользователя домена. »

Если они в домен прописаться не могут, значит представляют собой какую-нибудь "рабочую группу".
1. Эту самую рабочую группу можно узреть в сетевом окружении, а потом определить их IP-адреса и MAC-адреса. По последним уже можно вычислить компьютер физически и больно ударить по премии лица, за которым тот комп закреплён....
2. Для каждого пользователя разрешить логин только с его собственного ПК. Делается это через настройки профиля на контроллере. Соответственно, пользователь, машина которого не в домене, войти не сможет.

amel27 · Отправлено: **06:10, 11-09-2008** | #6

Цитата HHHH:

один и тот же пользователь домена должен иметь доступ к ресурсу, если он зарегистрировался на рабочей станции, прописанной в домене и не иметь туда доступ, если он подключается к этому ресурсу с рабочей станции, не прописанной в домене »

Изолирование домена реализуется через политики IPSEC
статья на osp.ru: Применение IPsec для защиты сети

HHHH · Отправлено: **12:05, 11-09-2008** | #7

El Scorpio,

Цитата El Scorpio:

2. Для каждого пользователя разрешить логин только с его собственного ПК. Делается это через настройки профиля на контроллере. Соответственно, пользователь, машина которого не в домене, войти не сможет. »

Можно подробнее? Очень Вас прошу

monkkey · Отправлено: **12:19, 11-09-2008** | #8

Цитата El Scorpio:

2. Для каждого пользователя разрешить логин только с его собственного ПК »

Это только если компьютер в домене. С недоменной машины при доступе к общему ресурсу запрашивается логин и пароль пользователя, что не имеет отношения к тому, с какого компа идет запрос.

Цитата HHHH:

отсюда и желание снести ОС. »

Бред сивой кобылы, а не организация. Запаролить биос, стикерами закрыть компьютер, отключить или убрать CD-DVD, отключить USB, и административный контроль.

HHHH · Отправлено: **13:43, 11-09-2008** | #9

monkkey,

Цитата monkkey:

отключить или убрать CD-DVD, отключить USB »

Круто! Но я не директор этой организации, к сожалению.
Все равно спасибо!
Запаролить биос - это хорошо, но ведь есть способ обойти и это. А что значит "стикерами закрыть компьтер"

monkkey · Отправлено: **14:06, 11-09-2008** | #10

Самоклеющаяся разрушаемая этикетка для контроля доступа
Я тоже не директор, но у меня всё это организовано.