Сообщений в теме: 360

[Corruptor]

как думаешь вообще стоит ли переносить пользователей с помощью этой утилитки миграшин тулс или потом будут глюки.у меня вообще такой вариант поднять сервак 2003 потом реплицировать его со старым потом переставить старый поднять АД а потом заново реплицировать с того сервака.думаю должно прокатить а?

[egoist]

как думаешь вообще стоит ли переносить пользователей с помощью этой утилитки миграшин тулс или потом будут глюки.у меня вообще такой вариант поднять сервак 2003 потом реплицировать его со старым потом переставить старый поднять АД а потом заново реплицировать с того сервака.думаю должно прокатить а?

Лучше конечно дополнительный контролер домена поднять, передать ему все роли. Потом старый можно будет понизить, переустановить и провести указанные шаги еще раз.

[Sigurd]

Слушай эго если вот у меня такая беда стоит вин2003 англоязычная с МУИ и стоит нормальная с лицензией рускоязычная.дело в том что когда я ставлю лицензионный сервер и пытаюсь потом сделать репликацию с нелицензионого на лицензионный он мне говорит что лес не подготовлен и версии лесов не совпадают.можно это как нибудь обойти?

Что значит "делать репликацию с нелицензионого на лицензионный"?? Ты добавил еще один DC в имеющийся домен или рядом еще один лес построил?

[immort-all]

Люди , в общем так: есть домен, есть Active directory, и сеть на где то 30 ПК, как сделать чтобы юзвери небыли админами своих локальных ПК. Т.е. могли только запускать программы, но не могли их удалять, устанавливать, и т.д., т.е. - надо какую то прогу - позвали админа - он залогинился под админской уч.запись и поставил все что надо, поподробнее плиз...
Ws2k3 server Enterprise edition
у юзеров XP pro

MODERATORIAL [egoist]

Предупреждение за нарушение п.4 локальных правил раздела "Софт" и п.2.1.1 правил конференции "Центр тяжести". Темы объединены.

Сообщение отредактировал egoist: 12.09.2008, 12:05:58

[borec_za_istinu]

Такой вопрос возник: нужно разрешить пользователям запуск программ сеанса MS-DOS - среды программирования Pascal и C++ от Borland. Групповые политики настроены на запуск только разрешённых приложений (в основном офисные), коммандная строка заблокирована. Добавление исполняемого файла программ в разрешённые к запуску не приносит результата. Отследил, какие файлы запускаются программой в обычном режиме с отключенными политиками. В основном обычные виндовые библиотеки и неизвестный мне файл ntvdm.exe. Добавил его в разрешённые, а равно и cmd.exe (очень не хотелось бы его разрешать, но для эксперимента разрешил). Результата нету.

Подскажите, каким макаром можно всё это дело прописать/разрешить. Точнее, что именно прописать?



К предыдущему посту - можно запретить в свойствах политик запуск апплета "Установка и удаление программ". А лучше всего просто прописать разрешённые к запуску приложения и всего делов. Юзерам, если на компах стоят как минимум два локальных пользователя, просто понизить права, до гостевых, к примеру, или ещё более ограничить.

Сообщение отредактировал borec_za_istinu: 16.09.2008, 16:52:40

[rfd_microb]

Добрый день!

Хотелось бы услышать пару дельных советов, по тому как ограничить пользователей организации.
Не много о технических возможностях:
Сервер под управлением Win Serv 2003, поднятый на нем домен.
Рабочие станции Win xp Prof

ТАк вот. Начальству очень надо, чтоб пользователь на компе мог открывать только 1С. Т.е не залазить более ни куда, ни создовать\устонавливать сто-либо. Это 1 группа . У 2 группы тоже самое только 3 ярлыка две 1С и папка на сетевой ресурс. Вообщем где бы я не лазил отрубить запись на локальные диски найти не могу.

И еще: Как отменить локальный вход пользователям? Только поуберать учетки а админа поставить под пароль?

Вот такие вот пироги!

MODERATORIAL [borec_za_istinu]

Пользователь rfd_microb получает предупреждение за нарушение пункта 2.1.1 Правил Конференции. Темы объединены.

Сообщение отредактировал borec_za_istinu: 09.04.2009, 14:24:49

[borec_za_istinu]

Чего проще-то - по поводу устанавливать/открывать и прочее - пошарьтесь по политикам, там много пунктов, регламентирующих права пользователей. Потратьте час на их изучение. Они все подробно описаны, за что каждый их них отвечает и какова будет реакция системы на включение или отключение.
Локальный вход можно запрертить, к примеру, таким образом - создать перемещаемые профили пользователей с удалением локальной копии профиля по завершении сеанса пользователя. Политики профиля настраиваются в ветках система-профили пользователей политики юзера и машины. Так же можно воспользоваться разрешениями NTFS - выставить запрет на запись, к примеру, на рабочий стол пользователя в его перемещаемом профили. Не забудьте добавить права админской учётке для перемещаемого профиля - есть соответствующий пунт. Если у пользователей много документов и перемещаемые профили неприлично распухают - воспользоваться перемещаемыми папками - на файловый сервер. Так же в политиках безопасности можно запретить локальный вход - там уж сами выберете кому.

Да, админская учётка, по-любому, должна быть запаролена.


ЗЫ: Кстати, нашёл решение к своему предыдущему посту. Нужно добавлять исполняемый файл в разрешённые программы только при непосредственном доступе пользователя к этому файлу. Так как у меня пользователи запускают программы через ярлыки, то и прописывать нужно соответствующие ярлыки на DOS-программы - то есть файлы с раширением .pif. Как только так сделал - тут же всё заработало.

Сообщение отредактировал borec_za_istinu: 09.04.2009, 14:44:04

[rfd_microb]

2 borec_za_istinu

Спасибо за "дельный совет" по поводу чтения описания групповых политик. И все таки, да действительно можно пробежать всех и поставить запрет на запись. (Если файловая система NTFS). Но что делать если парк компов свыше 100? Обегать всех?

Просто еще раз уточну вопрос:
Можно ли ограничить пользователей через ГП, если да то где (все просмотрел, но не увидел... может очки надеть...)?

З.Ы: Отдельное спасибо за предупреждения. (очки одеть забыл, ну не увидел...) И второе это за совет по поводу запрета локального входа через ГП, после прочтения сообщения сразу все увидел =)

[borec_za_istinu]

Хм, тогда, наверное, проще будет через логонный скрипт, выставляющий права для папки %userprofile%/desktop. По-моему, через утилиту subinacl.exe назначение прав производится. Правда, со скриптом я помочь не смогу - ещё пока не умею их писать. А запрет записи на локальные диски можно назначить в тех же параметрах безопасности, через настройку разрешений файловой системы для локальных дисков.
Локальный вход можно запретить в следующещей политике:
конфиг. компьютера - конфиг. windows - параметры безопасности - назначение прав пользователя - отклонить локальный вход - добавить пользователя или группу.

По-поводу устанавливать и прочее - пропиши в конфиг. компьютера - конфиг. windows - политики ограниченного использования программ пути или хэши разрешённых к запуску файлов, и запрет на запуск всех остальных. Я, правда, на первое время, у себя проще сделал - в конфиг пользователя - адм. шаблоны - система - прописал в "запретить запуск перечисленных программ" *.*, а в выполнять разрешённые приложения прописал те, которые нужны пользователям. Это, конечно, полумера, так как если пользователи прознают, то никто им не помешает переименовать файл в разрешённое имя и запускать его. Но проще и быстрее, чем с хэшем и путями.
Дополнительно можно выставить в конфиг комп - адм. шаблоны - копмпонеты win - установщик win - запретить использование.
Вобщем, можно запретить ВСЁ, но для этого нужно изучить все параметры групповых политик, чего я изначально и советовал.

[rfd_microb]

Огромное спасибо воспользовался вашим советом + справочником по реестру и все получилось =)

Но появилась другая проблема... Записать они на диски ни чего не могут... но вот пользоватся флэшками могут и могут уже от туда делать что хотят! Думал обрубить напрочь USB порта, но не выход у них стоят и принтера и сканеры через это порт. Порыскал в гугле... Нарыл много чего но мало дельного.... Может подскажите как быть?

[borec_za_istinu]

Я где-то параметр видел - не разрешать установку со сменных носителей, как-то так. Но, по-моему, это не совсем то, что нужно. Или оно? Если оно, я поподробнее посмотрю. Что именно нужно запретить пользователям? Копировать на флешки? Запускать с них программы? Документы? Или вообще флешки запретить? Все вопросы, кроме первого и последнего, можно решить, применив Политику ограниченного использования программ. Тогда они смогут запускать только те приложения и документы, которые им будут разрешены. Всё остально они не смогут открыть, даже если принесут на флешке.

Сообщение отредактировал borec_za_istinu: 10.04.2009, 14:52:00

[rfd_microb]

Надо чтоб вообще флеш накопители не открывались. Но при этом работали все остальные ЮСБ девайсы

[nuBo]

Отключение USB через GPO

[leonsv]

Есть такая программулька GFI EndPointSecurity, при ее установке на домен в АД появляюца группы для доступа к флоппи, сидюку, принтерам и тд и тп. А также и к флэшкам, причем есть группы только для чтения или полного запрета, при этом другие ЮСБ устройства не страдают. Сам это юзал, очень понравилась.

Сообщение отредактировал leonsv: 16.04.2009, 10:31:46

[T80UM1]

Вопрос как убрать дефолтные группы в остнастке юзеры и компы, чтобы новые объекты попадали только в специально созданные ОU

[borec_za_istinu]

Никак. Дефолтные на то и дефолтные. Новые объекты будут попадать туда, куда вы их сами поместите. Если вы поместите User1 в OU1, то он у вас там и будет. Если вы добавите User1 в группу Group1, то он там и будет. Единственно, по умолчанию новый юзер добавляется в умолчальную группу "Пользователи домена", но новая группа не добавляетя никуда - пока вы её не заполните, она пустая, как от членов, так и от членства.

[john_aka_fit]

хотел бы с помощью локального ДНС сервера сделать такую вещь: чтобы при открытии сайта, к примеру, vkontakte.ru пользователи попадали на страничку локального веб сервера с надписью "Вы хотели в рабочее время посетить социальную сеть? - ваш запрос отправлен к директору на утверждение... и т.п."

Вообщем вебсервер уже есть, ДНС настроен на домен domen.local... Если в ДНС вручную настроить запись CNAME на переадресцию с, к примеру, superserver на нужный нам вебсервер, то оно работает! Но если вписывать адрес сайта vkontakte.ru - то он автоматически дописывает суффиксы vkontakte.ru.domen.local - как нибудь можно это обойти? или реализовать по другому?

можно прописать в файл hosts - но это тяжелый путь для большого количества компьютеров

[Sigurd]

...если вписывать адрес сайта vkontakte.ru - то он автоматически дописывает суффиксы vkontakte.ru.domen.local - как нибудь можно это обойти? или реализовать по другому?

можно прописать в файл hosts - но это тяжелый путь для большого количества компьютеров

Создай на локальном ДНС-сервере еще один домен "vkontakte.ru" а в нем нужную запись... только это изврат, что мешает на проксе закрыть доступ? ;)

[leonsv]

..
или реализовать по другому?

Заблокировать на проксе. Сейчас сделал тест на isa 2006 и блокировка с переадресацией сработала. Если юзаешь эту проксю, могу подсказать правило.

[john_aka_fit]

ну да, можно и на прокси закрыть - только мне не надо закрывать, мне нужно сделать именно перенаправление - я просто не описал все что хочу сделать ))))

сейчас попробую создать домен, только если у меня будет домен с именем vkontakte.ru, как создам еще одну запись в нем? только ИМЯ.vkontakte.ru ??? надо делать просто ru? и создавать запись с именем vkontakte? но это что-то страшное )))