» Закрыть доступ к дискам (Win2000 Server)

При попытке зайти на ссылку \\servername\c$ у пользователей с правами "Опытный пользователь, не запрашивается пароль и каждый беспроблем получает доступ ко всему диску. И так на любой диск сервера.

Как бы это прикрыть?

Хочу уточнить свой вопрос.. мне надо запретить доступ к этим ресурсам \\servername\c$ для пользователей... а не вообще их убить. Нужно чтобы когда пользователь пытается зайти на эти ресурсы у него запрашивался пароль.

Цитата:

Нужно чтобы когда пользователь пытается зайти на эти ресурсы у него запрашивался пароль.

А он и так должен запрашиваеться, если конечно логин/пароль пользователя не совпадает с логином/паролем администратора на машине к которой он пытается получить доступ.
Шары C$, Admin$, IPC$ создаются с административными целями и доступ к ним можно получить только под аккаунтом админа.

да в том то и волшебство, что пользователь в группе "Domain Users", и у себя на компе в локальной группе "Power Users". А при попытке зайти на \\servername\c$ у него ничего незапрашивается, и он беспрепятственно получает доступ к серверу. Причем эта проблема со всеми дисками сервера. При это если попытаться зайти на любую другую машину \\machinename\c$, пароль запрашивается.

Может что подправить в групповых политиках?

KorMan
А сервер - контроллер домена? Какая операционка? С группой Domain Users никаких приколов нет (типа административных прав)?

Сервер - контроллер домена.
Windows 2000 Advanced Server SP4.
Никаких приколов с группами нету

KorMan
Эта картина со всеми пользователями наблюдается?
Если юзера удалить из локальной группы Power Users, проблема остаётся?
Пароли локальных администраторов не совпадают с паролем администратора домена?

Так.. возник вопрос... группа "Domain Users" в какие группы должна входить?

У меня только в Users входит.

мдя.. а у нас еще и Administrators built-in.
Хотя я и убрал их оттуда... проблема не исчезла

она должна быть сама по себе, а то если она входит у тебя в группу Domain Admins, то может быть и такой прикол. Либо у тебя пользователь имеет админские права...

KorMan
что-то у тебя явно не так.. проверяй политики..
вот еще глянь..
_http://www.lantricks.com/lansafety/index.php
хотя все что она делает - можно сделать через реестр

Добавлено
Чтобы заходить на ресурсы $ надо иметь админские права. Где-то у тебя прописано, что юзеры это получают.

Цитата:

она должна быть сама по себе, а то если она входит у тебя в группу Domain Admins, то может быть и такой прикол. Либо у тебя пользователь имеет админские права...

Неее.. она не в "Domain Admins" а в "Administrators DomainName\Built-in"
А без нее у нас не работает приложение, которое обращается к именованным каналам.
Ну и как я писал выше.. даже если выкинуть Domain Users из Administrators.. все равно пользователи могут заходить на диски.

Добавлено

Цитата:

что-то у тебя явно не так..

Это точно.. что то не так...
Да вот знать бы точно.. что в политиках может оказывать влияние на мою проблему... т.к. многое в политиках конечно определенно... а методом тыка тоже не дело.. знать бы хотя бы примерно куда тыкать

Цитата:

Ну и как я писал выше.. даже если выкинуть Domain Users из Administrators

Пользователя после этого перелогинить нужно.


Цитата:

Неее.. она не в "Domain Admins" а в "Administrators DomainName\Built-in"

А суть одно и то же. "Domain Admins" сама находится в "Administrators DomainName\Built-in" В общем, проблема именно в этом.


Цитата:

А без нее у нас не работает приложение, которое обращается к именованным каналам.

Что за приложение?

Цитата:

Что за приложение?

База данных в трехзвенной структуре.
у клиентов находяться клиентские программы которые обращаются к серверу.
На сервере база и сервер приложений. К серверу приложений клиентская часть обращается через именованные каналы ( и как я понимаю значит через IPC$).
Если я забираю у клиентов права Administrators domain\built in, то клиентская часть пишет что нету прав для работы с сервером приложений

Измени в свойствах самого диска, или папок которые тебе нужно закрыть, во вкладке безопасность оставь только SYSTEM и свою учетную запись или создай группу SuperAdm дай все права: админ домена, схемы, предпр, и т.д. внеси себя и других админов и дай доступ к дискам только к ней тогда твои юзеры несмогут ни читать ни писать на диск

Уточняю проблемы которые выявились входе решения.
1. Доступ к админитративным ресурсам (c$,ipc$,admin$), оказался разрешен пользователям из за того что группа Domain Users была в группе Administrators domain\built in
2. Из за того что у нас работает на сервере База данных в трехзвенной структуре, и на сервере запущен "сервер приложений", то пользовательские приложения обращаются к серверу через именованные каналы соотвественно через IPC$( если я не прав, поправьте меня). И если я выкидываю группу Domain Users из Administrators domain\built in, то клиентские приложения пишут " у вас недостаточно прав для работы с сервером приложений".

Может у кого есть мысль как дать доступ пользователям к серверу приложений при этом не давая им прав Администратора?

KorMan
Попробуй снести шары C$, D$ и т.д., а потом зашарить их самому, тогда, наверное, можно будет для них установить параметры безопасности. Укажешь, что доступ возможен только пользователю администратору (не группе).

Никогда так сам не делал, но вдруг прокатит.

Цитата:

Попробуй снести шары C$, D$ и т.д., а потом зашарить их самому, тогда, наверное, можно будет для них установить параметры безопасности. Укажешь, что доступ возможен только пользователю администратору (не группе).

Не-а.. такое никогда не прокатывало.. система такие ресурсы как диск$, считает что они созданы для административных целей.. и изменить безопасноть для них нельзя.

сейчас больше интересует как бы организовать связку клиента с сервером приложений

Просто проблема почему пользователи попадют на диск, уже решена.. изза того что они в группе Администраторов.

Чем не нравится вариант Uzkhadmin
Пользователи не смогут читать и писать на диск, кроме специально указанных папок.
Мне кажется, что проблема серьезнее чем пишет автор, ведь пользователи имеющие права админа имеют доступ ко всем ресурсам в сети и т.д. Мне кажется, что правильней было бы искать возможность работы программы без выделения прав администратора пользователям.
Попробуй связаться с разработчиками программы.

Цитата:

Чем не нравится вариант Uzkhadmin

Весьма мудренно... у ресурсов типа диск$ нету вкладки безопасность.. они создаются системой только для административныз целей и следовательно определена безопасноть для админов и еще чего нить типа система.
Да и зачем создавать еще какую то группу если и так есть группа Domain Admin?

Обратиться к разработчикам нету возомжности т.к. мы отказались от техподдержки.
Да и поддержки от них.. мы и сами больше можем.


Пока насторил, долго объяснять, там затрагиваются тонкости работы сервера приложения. Но пока вроде все работает.
Всем спасибо.

Цитата:

сейчас больше интересует как бы организовать связку клиента с сервером приложений

Вообще, прикольный у вас софт стоит. Требует, чтобы все пользователи были администраторами домена. Хе-хе...

Вообще, это большая дыра в безопасности. К разработчикам есть возможность обратиться?