» Win2000 - ограничение прав пользователей

zonder

Цитата:

Как пользователю домена запретить вход (на уровне домена) на конкретную рабочую станцию?

объединяй юзверей в OU и припиши ей политику на запрет на вход, как служба терм., или интерактив. вход.

А если в домене есть клиенты на 98 и Милленниуме??? Как заставить Group Policy руководить и этими машинами?

merlkerry
получается для одного юзеоа делать OU ?

griin

Цитата:

А можно вопрос? Почему Poledit- "убогое черное прошлое"???

Потому что он не поддерживает половины в всех новых фишек 2000 и более того - механизмы хранения и раздачи пользователям прав и разрешений в 2000 очень изменились.

Цитата:

Просто вот я, например, запретил через него пользователям реестр редактировать и еще несколько мелочей сделал, но ни в одной оснастке MMC не сумел найти таких же возможностей...

А с regedit и regedt32 права на чтение и исполнение обычным пользователям нельзя было снять? К тому же если у тебя домен - то через политики по всем компам домена ходить будет.
Если локально, то - gpedit.msc щупал?

Path

Цитата:

А если мягче: входит в систему самостоятельно, но система ограничивает время работы.
Как это организовать?

Самая известна прога SwitchOff обзывается, имеет очень гибкие настроки.

handshake

Цитата:

А если в домене есть клиенты на 98 и Милленниуме??? Как заставить Group Policy руководить и этими машинами?

Никак. Есть, конечно, спецклиент от MS для 9x и NT4, который позволяет использовать кое-какие новые фишки 2000 (например NTLMv2 аутентификацию), но политики он не держит вообще никакие. Да и вообще в 9x с политиками, имхо, слабовато будет .

merlkerry

Цитата:

объединяй юзверей в OU и припиши ей политику на запрет на вход, как служба терм., или интерактив. вход.

Не - не пойдет. Так они вообще ни за одну машину не попадут . Нужно в OU сгружать компы, а пользователей запихивать в отдельную группу. Затем в OU создаем групповую политику в которой проставляем "Запретить локальный вход" и "Запретить вход на службу терминалов" этой самой группе.
Так более нормально выглядит.

Цитата:

в ММС пытаюсь подключить групповую политику компа, выбираю нужный компутер из списка, жму ОК, но мне выдается сообщение типа "не удалось открыть объект групповой политики на ХХХ, у вас нет достаточных прав" и "не найден сетевой путь", хотя я- администратор домена

Тоже самое только локально на сервере. Сервер домен контролер. В сети 25 машин, 90% машин пред-Windows 2000. В чем трабл.

Исходные данные:
Образовательное учереждение (универ)
Домен W2K
клиенты WinXP:
есть компьютерные классы,
есть компьютеры подразделений,

в классах учаться студенты заходять каждый под своим именем.

Нужно чтобы "пуск-программы" и "рабочий стол" их профиль брал с сервера, подключались сетевые диски, не было возможности изменять настройки рабочего стола или чтобы они не сохранялись при выходе.

Студенты на локальной машине опытные пользователи, так как некоторые программы нормально работать под пользователем не могут, в частности даже офис если не опытный пользователь, то они не могут работать с вставкой рисунков.

ранешь когда стояли WinNT пользовался poledit, теперь же winXP его игнорирует.

zonder
gpedit.msc - запускай и запрещай логиниться кому хочешь.

zenia
перемещаемые профили+грамотная настройка разрешений на уровне ntfs,
либо забей нужную конфигурацию на локальных машинах в профиль default user
и настрой удаление профилей пользователей при выходе/в конце рабочего дня.

Ответ для zenia:

Решение твоих проблем - перемещаемый профиль man. Можешь прочитать о них на http://www.osp.ru/win2000/worknt/2001/02/217.htm

Кстати, почти все программы можно заставить идти под правами обычного пользователя (кроме, видимо, некоторых системных утилит).

JcVai

всегда забываю про групповуху

ALL.
Коллеги, имею домен по W2000 serv, в нем около 100 локалок.
На серваке нарезал юзерам папок и выставил в общий ресурс с доступом тем кому куда можно (так надо из-за специфики их работы с общими базами данных).
Пришла мысль - если мои пользователи начнут использовать эти ресурсы сервака для хранения своего большого хлама, то мне весь сервак забьют. Пока до этого не дошло. Двоих вычислил и предупредил, что отключу. Но вручную-то ловить - это ж геморой.
Отсюда вопрос:
Как ограничить объем предоставленных им на серваке расшаренных папках (напрмер каждой по 2 Gb и все)? А то можно и внутри них по каждому пользователю конкретно.
Что-то я в справке по ОС этого не нашел.

Применяй квотирование. Свойства диска и т.д.
назначь каждому юзеру определенный размер дискового пространства выше которого он не прыгнет. Но этот способ применял только для 2000-ХП, хотя для сервака думаю будет работать тоже, хотя это и не совсем правильное решение.

Jovanotti

Цитата:

Применяй квотирование

Спасибо. Посмотрел. Для сервака тоже работает. Дело не в ПЭВМ, а FAT/NTFS.

Цитата:

каждому юзеру определенный размер

У меня их 100 человек, муторно каждого. Но если по другому нельзя, то придется.
Для удобной работы у меня юзеры объединены в группы, и разрешения к ресурсам я даю на определенную группу.
Можно квотировать как-то сразу для всей группы? И на отдельную папку, а не на весь диск?

Цитата:

не совсем правильное решение

Почему?

Цитата:

У меня их 100 человек, муторно каждого. Но если по другому нельзя, то придется.
Для удобной работы у меня юзеры объединены в группы, и разрешения к ресурсам я даю на определенную группу.
Можно квотировать как-то сразу для всей группы? И на отдельную папку, а не на весь диск?

Квотирование - контроль использования юзерами дискового пространства компьютера, соответсвенно, этим инструментом контролировать можно только разделы диска вообщем. Но никто не мешает создать разделы без букв и смонтировать их как папки в NTFS (недостаток - раздробленность общего объема HDD, я бы так делать не стал)

100 человек - мелочь. Пробивать каждого и не надо: выставил квоту по дефолту (для основной массы, например 100МБ. А эксклюзивам - 2ГБ или 20МБ )

zonder

Цитата:

смонтировать их как папки в NTFS

Я так и сделал. Меня это устраивает. В каждую папку могут входить и работать с ней несколько определенных людей. А вот как теперь по-проще сделать, чтобы они со своих компов не переполняли мне сервак, работая с выделенными им папками на серваке?

Цитата:

выставил квоту по дефолту

Это где? И для чего? Для диска или папки? Я не нашел похожего.
Для квотирования у меня высвечивается только список юзеров, а группы можно?

ZUMR

Цитата:

Цитата:не совсем правильное решение

Почему?

Цитата:

У меня их 100 человек, муторно каждого

Вот поэтому и не совсем правильное

Это квота по умолчанию устанавливается на вкладке "Квоты" в свойствах нужного диска.
Там есть пункт "Выделять на диске не более, чем...". Вот это и есть квота по умолчанию.Квота устанавливается только для всего диска, т.е. если у пользователя две папки на этом диске, то в качестве занятого объема будет использоваться сумма объемов этих папок. Установить квоту для группы стандартными средствами нельзя (обидно, да?), только отдельным пользователям и только на диск целиком.

Jovanotti
Als
zonder
Коллеги, спасибо за ответы.

Als

Цитата:

стандартными средствами нельзя (обидно, да?),

Обидно, согласен.
А какими-нибудь софтинами можно?

Поставил систему (сервер терминалов) на отдельный раздел. Теперь на этом диске только WINNT, Program Files и Documents and Settings. Но диск доступен юзерам, в том числе и системные папки. Причем это по умолчанию. Система естественно NTFS.
Как теперь запретить юзерам использовать этот системный диск? Т.е. можно конечно поставить запрет на доступ к этому диску целиком, оставить только для SYSTEM, и админов домена, ну и локальному админу. Но будут ли при этом работать приложения из под юзеров, получат ли они доступ в своих профилях к рабочим столам?

Можно ли вообще скрыть системный диск от юзеров? Вроде политиками можно.
Но как запретить им лазить по диску, который все же виден будет наверняка через окно диалога "Сохранить как". Или этого не будет? Если системный диск скрыт, то юзер не сможет сохранять инфу себе на рабочий стол и в "мои документы"?

1. Для квот отдельно на папки и по группам можно использовать, например, прогу QuotaAdvisor. На самом деле их много - попробуй поискать в Яндекс ии Google. Сам я ими не пользуюсь, поэтому ничего более конкретного подсказать не могу.

2. Системный диск от пользователей конечно скрыть можно. Это даже устанавливается где-то в политиках, но учти, что этот диск не будет виден только в Проводнике. Остальные программы (типа Far и т.д.) на эти настройки не смотрят и на них они не действуют. Поэтому без запрещения через NTFS тут вряд ли обойтись. Сначала разреши пользователям только чтение какого-нибудь Program Files, а дальше попытайся войти под пользователем и позапускать программы. Если все запускается - повезло, иначе обычно надо искать почему программа не запускается. Тут очень поможет filemon. Кстати, не забудь, чтобы переменные TEMP и TMP указывали на каталог, куда пользователи имеют право read/write. Без этого большинство программ точно не запустится.

Als
Про квоты я не спрашивал.
Уже разобрался с системными папками, они по умолчанию не доступны юзерам для изменений и удалений, то что надо. В общем диск можно и не скрывать.
Заметил такой глюк - пытаюсь удалить файлы в папке Outlook из под админа, так они потом сами обратно восстанавливаютя. Что за чудеса?
Просто надо запретить юзерам пользоваться оутглюком.

Pantalone
Просто раскидай необходимые разрешения на соответствующие папки и ветки реестра.

JcVai
Как на папки и ветки реестра права задать можно? (думал что только на папки диска можно права разграничивать)

Pantalone
через пункт "безопасность".
запускаешь regedt32 и там выбираешь ветви, к которым требуется ограничить доступ. нажимаешь "безопасность"->разрешения.
и выбираешь кому и куда можно...

Приветствую Всех !!!
Помогите решить проблему! Имеется:
ОС: Windows Server 2003 EE.
Роли выполняемые Сервером: File Server, AD, DNS, DHCP
Режим работы: смешанный

В AD заведен юзер YYY и XXX. Создана группа (глобальная, безопасность) ZXC, членом которой является юзеры YYY и XXX . Группа ZXC не является членом никакой другой группы. На сервере создаю папку 123. Необходимо дать доступ только членам группы ZXC. Делаю Sharing. Далее делал два варианта:

Вариант №1 - в Sharing Permissions ставлю ТОЛЬКО группу ZXC (full control). На вкладке Security -> Advanced снимаю атрибут разрешения наследования и ставлю ТОЛЬКО группу ZXC. Применяю настройки. С рабочей станции под учетной записью YYY или XXX пытаюсь зайти в расшареную папку 123. Получаю отказ.

Вариант №2 - в Sharing Permissions ставлю юзеров YYY и XXX (full control). На вкладке Security -> Advanced снимаю атрибут разрешения наследования и ставлю юзеров YYY и XXX. Применяю настройки. С рабочей станции под учетной записью YYY (XXX) пытаюсь зайти в расшареную папку 123. Все ОК.

Вопрос: почему когда в Permissions указывается «юзер» (вариант 2), то все нормально работает, а когда указывается группа, членом которой является юзер (вариант 1), то в папку попасть нельзя. Такое ощущение, что состав групп не просматривается.

В Domain Controller Security Policy в разделе Local Policies -> User Rights Assignment -> Acces this computer from the network группу 123 занес, в Deny access to this computer from network кроме support_388945a0 ничего нет. А в Domain Security Policy все настройки стоят в Not Defined

Заранее благодарю всех кто откликнется.

Вроде сам разобрался. Дело оказалось в самих глобальных группах. Если я правильно понял, то когда речь идет о лесе доменов состоящем только из одного домена, то смысла в глобальных группах практически нет ? И надо оперировать локальными группами ?

NDM - ты неправильно понял. Майкрософт рекомендует использовать именно глобальные группы. Не стоит злоупотреблять универсальными, а вот глобальные это идеал

2 kibkalo

На сколько я знаю, в своих "трудах" Майкрософт рекомендует применять модель AGLP:

Accounts – учетные записи (помещаются в…) Global Groups – глобальные группы (которые затем помещаются в…) Local Groups – локальные группы (которым в конечном счете назначаются…) Permissions – разрешения.

Локальные группы применяются обычно для назначения разрешений на доступ к ресурсам только в своем домене.
Глобальные группы могут быть использованы для доступа к ресурсам в любом домене леса.

У меня лес (хотя по определению это вовсе не лес ) состоящий из одного домена. Да и не получается через глобальные группы раздавать Permissions. Собственно именно в этом и вся проблема . А через локальные - пожалуйста.

"..... не стоит злоупотреблять универсальными....."

О универсальных и речи не было . Тем более, что сервер работает в смешанном режиме (универсальные группы не доступны)

Имеется ОС Windows XP Pro. Как ограничить уч. запись "гость" или другую, чтобы она не могла пользоваться сетью, а в особенности интернетом. Инет раздается по сети через шлюз.

Route что за шлюз ?

Обычная сеть, только все компы в Интет бегают через железку (D-Link). Вот это и есть шлюз