|
Настройка ЛВС "Защита от пользователей" <Windows, Active Directory>
Помогите советом и делом, пожалуйста.
Исходные данные Домен, 150 компов, работаю с 30-40 компами (ХР и 2000, Server 2003) (т.е. нужно чтобы все изменения распространились только на них). Все права есть. Задача Настроить грамотно права и доступ к ресурсам Как я себе предсталяю На сервере - Создаю папку(имя папки=Названию отдела), куда имеют доступ только пользователи нужных мне компьютеров - Внутри папки Название отдела создаю Папки с именами Фамилия пользователей. Внутри еще две папки: для обмена с другими отделами (доступ всем полный), и для бэкапа данных с локального компа (доступ только одному пользователю) Пример: \Маркетинг \Иванов \Для обмена \Для бэкапа \Петров \Для обмена \Для бэкапа На локалке Прихожу к пользователю. Сохраняю все данные. Копирую их сразу в папку на сервак и на диск D (локальный диск) Ставлю всем чистую ОС с необходимыми программами (ну ясное дело из образа) --------------------- - Все пользователи, созданные на сервере) являются членами группы ПОЛЬЗОВАТЕЛИ ДОМЕНА - На локальных компах - естественно они входят в группу ПОЛЬЗОВАТЕЛИ (по умолчанию) --------------------- Что я хочу Запретить доступ к диску c:\. Т.к. 1) некоторые программы не требуют стандартных папок. А просто создают их на диске с:\ 2) Чтобы пользователь не мог сохранять данные на диск с:\, в том числе на рабочий стол. В итоге, единственное, что будет нужно при переустановке ОС - сохранить их папку МОИ ДОКУМЕНТЫ, да и то ее можно перенаправить на сетевую шару или на локальный диск D:\ Запретить создавать "шары" у себя на локальных компах. Есть мысли о запрете запуска исполняемых файлов, но тогда программы смогут запускаться, уже установленные? Вообщем мне все равно, что они сохранят на диск D. Мне все равно, что они скинут на свою сетевую шару (ну понятное дело, что большие мультимедийные файлы буду пресекать) У кого какие мысли по поводу такого построения сети? И как сделать вот эти вещи: Запретить доступ к диску c:\ (см. выше подробнее) Запретить создавать "шары" у себя на локальных компах. запрет запуска исполняемых файлов |
Цитата:
2. остановить на машине службу server 3. на форуме была тема про запрет исполняемых файлов. |
1. В разрешениях нтфс убрать право записи для пользователей.
2. Разве пользователи, не имея прав администратора системы, могут расшаривать ресурсы? 3. Политика ограниченного использования программ. |
andrei.ru, чтобы изменения касались только нужных пользователей - запихни их в отдельную OU.
По поводу общей шары - можно сделать по другому. Создать общую папку, в корне лежат именные и одна общая папка для обмена. К именной папке доступ личный и полный, к папке бэкапа - личный и только на запись (чтобы потом в случае пропажи бэкапа не слушать бредни о том , что "я не знал что это нужно, думал раз в моей папке, значит мое, а мне это не нужно поэтому удалил"). К папке обмена доступ у всех полный - чтение, запись и удаление. |
Всем спасибо за помощь.
1) Доступ к диску с:\ перекрыли с помощью ntfs разрешений (очень удобно, по умолчанию доступ к профилю разрешен) 2) Да ресурсы расшаривать простой юзер не может 3)Пока еще не решил, стоит ли это делать? Какие проблемы могут возникнуть? А вообще какие общие мысли? Что еще можете посоветовать. Хочется чтобы сетка и компы работали без проблем. А если у пользователя будет минимум прав, чтобы что-то поменять, то и меньше вероятность, что Windows "заглючит" |
Цитата:
Цитата:
В общем все ограничивается только Вашей фантазией и здравым смыслом :) з.ы. по моему немноголетнему опыту, работа по приципу "а дай ка я еще чего-нибудь эдакого сделаю...", заканчивалась крахом той или иной службы %) |
| Время: 13:39. |
Время: 13:39.
© OSzone.net 2001-