Уважаемые господа специалисты! Дайте пожалуйста совет. Есть сеть (прибл. 50 машин)+сервер (Oracle). До недавнего времени на всех машинах стояла Win95. Все работало замечательно. Затем было принято решение всех заточить под Win NT 4.0 (якобы для безопасности). Вопросов нет - безопасность дело хорошее. Теперь никто из простых юзеров ничего несанкционированного на комп не поставит (хотя, если честно, я простой пользователь, а пароль админа узнал - с помощью интернета). Так вот, нормально ли это, что теперь админ (т.е.человек, далекий от бизнеса) будет видеть и контролировать все, что есть и у простых работников, и у top-менеджеров. Причем, ладно бы он лазил в системных файлах, а ведь у него полный доступ и к служебной бизнес-информации. Подскажите, как решается эта проблемма в других организациях? Как ограничить права админа-программиста только тем, что касается функционирования системы? И можно ли создать админа-начальника подразделения, который имел бы доступ к бизнес-папкам на компах своих сотрудников. Огромное спасибо за ответы!

Ну... Админ и есть админ! Он должен иметь Full Control над сетью в самом широком смысле слова! Иначе он плохой админ...
У меня в банке я имею практически Full Control и могу залезть практически везде... Другое дело - ОНО МНЕ НАДО?  За такие вещи админа и ВЫ%БАТЬ могут, но возможность все-же есть...
А если ты знаешь пароль админа и активно им пользуешься, то смотря от того, в какой организации ты работаешь, то в зависимости от этого Вас вместе с Админом ВЫ%БЕТ начальство когда узнает...

У нас был случай: (Машины у нас Вин98)
Один Юзер решил себе апгрейдить 95 на 98 без Нашего ведома и начал это делать... Но система навернулась... После этого его уволили нах...

Так-что незаменимых людей не бывает... А банк-то у меня иностранный и люди за места свои держатся...

Так-что думай... :)

Та не, я это просто ради спортивного интереса узнал (это я про пароль). Под ним не захожу - понимаю ведь, что могут быть пойманым, будет неудобно. Ну а что касается ответственности за такие дела, так здесь проблем нет - мне надо, значит будь добр поставь, а если не ставишь, а я себе сам ставлю 98 вместо 95 (по уважительной причине), так мне еще надо и доплатить за чужую работу.
Вопрос этот возник у меня потому, что админ очень любит покопаться в чужих компах, навести там порядок, есть возможность использовать винты теток в качестве места под музыку и другой хлам и т.п.
Да и вооще, неприятно, когда у тебя в столе лазиют. Причем я человек - лояльный к руководству и за свою контору горой, но все равно - неприятно. Да и с точки зрения безопасности (финансовой) - тоже вопрос.

SergP
вопросы доступа администратора на рабочие места (и вообще в сети/на компьютеры) решаются исключительно административно. Но при необходимости ВСЕГДА должен существовать способ получения админом такого доступа, а уж потом разбираться, правомерно это было или нет, и была ли такая необходимость. А для контроля на всякие суперсекретные штучки ставится аудит.

Во-первых! Это компутер не твой, а рабочий! Главный - это админ! За него (компутер) он отвечает "головой"... Что хочет, то и делает...

Во-вторых! Насчет финансовой безопасности! На это есть свои стимулы... Я, например, могу залезть везде и посмотреть данные (любые), но вопрос: ОНО МНЕ НАДО?
Я просто боюсь быть пойманым "за жопу" и лишится своего места... А по-русски: держусь всеми руками и ногами за место...

Если админ что-то делает, то ты как простой юзер просто-напросто ничего с этим поделать не сможешь, т.к. права и обязанности в сети "устраивает" админ... Смотря как ты будешь стрить с ним взаимоотношения, то от этого зависит будет-ли у тебя стоять минимальная положенная конфигурация компутера для работы или что-то будет еще надстроено сверху (т.е. интернет, всякие приблуды и т.п.)...
Единственная возможность - это наклепать начальству на админа, но... это кучеряво последствиями...
Админ-то отмажется (как пить дать), но у тебя могут быть проблемы...

ЗЫ: У любого админа есть бумажка или что-то в этом роде (он может это просто знать ни где не записывая): Обязательная Конфигурация рабочего места

Добавлено:

Интересно! А как именно ты это сделал??:(

Как узнал пароль? Да спросил у людей, потом загрузился с дискеты (конечно, можно сказать, что мол, нужно у всех убрать к такой-то маме флипики), взял файл, где лежит пароль (уже не помню, как он обзывается), взял програмульку какую-то (что-то типа LCD, но может я название перепутал) и она мне сказала, кто есть ху. Вот и все.
А по поводу "мой комп" - это что, меня на слове что ли поймали? По-моему, очевидно, что я имел ввиду не форму собственности. И потом, все-таки не мы для админа, а админ для нас (пусть не обижаются на меня, читающие это, а знаю, что среди читающих - админов много).
Цитата: "Я просто боюсь быть пойманым "за жопу" и лишится своего места..."
Вопрос: А как можно поймать админа, который скопировал с моего компа данные по VIP-сделкам и передал соседям по бизнесу? Кстати, мне недавно рассказали ужастик, когда админ, обидившись на начальство, загнул, извините, раком крупную компанию, т.к. имел информацию на уровне руководства. Или админа надо включать в совет правления компанией? (по крайней мере, в вопросе оплаты труда :) ). Админы, читающие это - улыбнитесь мечтательно...
Все равно, спасибо за разъяснения.

SergP
не так, и вы и админ - для организации.

Ответ: аудитом избирательного доступа к этой информации.

Насчет мой, не мой комп я тоже не в смысле собственности, а в смысле того, что он предназначен для работы и не для чего кроме... Все остальное дома...:)

А мы (Админы) такие же люди... Так-же при устройстве на работу подписываем все бумажки об ответственности за разглашение и все такое... И на нас лежит ответственность за разглашение (и уголовная в том числе)...

Есть много случаев, когда Админов сажали за такие вещи... :(
Это точно... Но мне кажется, что если пользователь в хороших отношениях с админом (если админ нормальный и юзер тоже человек), то и проблем никаких быть не должно... Если кто-то из них г..но, то... :(

Хоть у меня все юзеры достатосно опытные (я думаю смогут пароль взломать и все-такое), но никто этим заниматься не будет... Они подойдут и попросят меня, я все, что смогу сделаю... А если они будут сами все делать, то в лучшем случае их ВЫ%БЕТ начальство и их и мое...
И проблем в принципе нет...



Добавлено:

Но когда работал в СБЕРБАНКЕ, то там и проблемы были постоянные (а они и сейчас там есть)... Там экономят на всем, особенно на спичках и компьютерах...

Там в открытую могут подойти и сказать: "Ты говно и плебей паршивый!" и во всем винят именно инженеров (админы по-русски)...

Ну и о каком отношении идет речь?

Ну этого не надо, но просто банально не строить ему помех в работе и оценивать труд по достоинству, а самое главное - это не экономить на IT-технологиях.  

SergP, а ты никогда не задавался вопросом: "Сколько зарабатывает админ? и Какое у него образование?"  Я имею в виду в конторах, в которых работают не студенты...

Хороший видимо админ, если его пароль так просто взломался... Интересно, сколько символов его длина? Это была наверно кличка его любимого крокодильчика...:)

...Это была наверно кличка его любимого крокодильчика...
Ответ: примерно так. Ну чуток подлиннее. Его ошибка - использование только буквенных символов. По поводу оплаты админов, я допускаю, что настоящий админ должен стоить дорого. Точно так же, как НАСТОЯЩИЙ аналитик, менеджер, бухгалтер и т.п. Главное - найти этого настоящего (1), не пожалеть для него денег (2),  т.п. А наш админ и вправду никакой- только пальцы веером. Хотя, по поводу установки всяких наворотов у меня проблем не возникает - нормальные отношения с его начальством. Если он меня пошлет, так ему все равно прийдется все поставить.
   Цитата: А мы (Админы) такие же люди... Так-же при устройстве на работу подписываем все бумажки об ответственности за разглашение и все такое... И на нас лежит ответственность за разглашение (и уголовная в том числе)...
   Коммент. : Да все понятно, люди то все хорошие и подписывают все всё, что надо, только вот если довести это до абсурда, то можно и доступ к ядерным ракетам страны дать всем военным, взяв у них подписку не нажимать без необходимости. Ограничение доступа все равно должно быть. Кстати, а есть ли в Ваших организациях какие-либо документы типа "Положение об информационной безопасности" или что-то в этом роде?
   И еще вопрос: "Аудит избирательного доступа" -  я так понимаю, что это некий log, который ведет комп о том, кто куда когда лазил. Если так, то может ли админ залезть куда-нить , а потом этот лог почистить (мол меня тут не было)?
   И еще. Ну есть аудит, ну увидел я, что админ лазил в некие папки, а он говорит, что мол случайно туда ткнул мышкой и ничего даже и не смотрел. Извините, конечно, за дилетанские вопросы... Чувствую, что чем больше в эту проблем вникаю, тем больше появляется вопросов, а выхода из situation пока не вижу. Спасибо.

Обязательно есть!!!! Я ведь все-таки в банке работаю...

Админ-то обязательно отмажется... И ничего ты с ним не поделаешь... Если он будет разговаривать с твоим начальником на эту тему, то он загрузит его по полной (терминами всякими и понятиями), а если со своим начальником, то это зависит только от их отношений... (тут вопрос большой и философский, подробней отвечать не буду)
Конечно ДА! А ктт ты думаешь эти логи фиксит? (если конечно нет личной службы информационной безопасности)

Ограничение прав пользователей в WinNT 4.0
 

Хочу установить на 15 машинах с ОС WinNT 4.0 , чтобы юзера не могли менять свойства экрана и прочую фигню. Нашел в документации ключи и параметры реестра, которые отвечают за это. Но применить я их могу только к текущему юзеру. То же самое при использовании визуальных редакторов реестра типа winboost.
Единственный выход, который я нашел- это дать юзеру права администратора, сделать эти ограничения и снова сделать юзера обычным пользователем.
Может есть какой-то более простой способ? Или программы настройки, позволяющие менять параметры реестра для конкретных пользователей?

И еще, Можно ли каким-то образом отследить изменения в реестре на одной машине, и потом просто применить их на всех остальных? Пробовал с помощью команды fc сравнить экспортированные файлы реестра до и после, чето не получается...

если у вас домен, то все просто, есть дистре НТ4-сервера прога poledit, с её помощью настраиваются параметры раб станции как для пользователя, так и для админа, при это не обязательно на раб-станции должа быть НТ, может 9х быть, всёравно. и всё это применяется при вхождении пользователя в домен.
если же домена нет, то можно настроить для одного локального пользователя или компутера

Те же самые ключи реестра должны быть прописаны в раздел HKLM вместо HKCU.
А с poledit аккуратнее - она по дефолту убирает системные шары типа c$ и т.д. :)

Если не домен и не пользовать редактор политик - моня настроить эти настройки не для локал юзер а для дефолт юзер - тогда при создании профиля - настройки будут автоматом переноситься в новый профиль. По поводу HKLM вместо HKCU - какие то настройки важнее если они в HKLM, какието HKCU. Поэтому создавайте одинаковые настройки и там и там - не промахнётесь ))

Как сделать в Windows NT
 

Windows NT
Проблема в следующем:
1. Необходимо вместо эксплорера при запуске винды запускать другую, внешнюю оболочку (есть bat-файл).
2. При этом (п.1) должна остаться кнопка "Пуск" с возможностью перезагрузки и завершения работы и все. Больше никаких возможностей эта кнопка не должна давать пользователю. Рабочего стола, естественно тоже не должно быть.
3. Возможно ли при внесении настроек п.1 и 2, с внешнего компьютера, например с ноутбука, подключенного напрямую, или просто с другого компа в локальной сети, сделать обратные изменения.

Насколько я понимаю, надо править реестр?

Stitcher тебе это для чего такое редкое извращение?
Шаловливые ручки у хирурга?
Если так то ищи в инете мануалы по реестру (таких куча) и экспериментируй.
Знаю точно пункт найти, поиск, документы - можно убрать.
Далее можно поставить Aston, LiteStep какой - нибудь и видоизменить совсем интерфейс. Очень гибко настраивается LiteStep. Экспериментируй вообщем.