» как отобрать права записи на съемные диски

Ici Chacal

Цитата:

Насчет того, откуда надо редактировать политику,- не согласен в корне.

Ну и как ты на контроллере домена где не стоит сервис Devicelock, запретишь останавливать службу локальным админам которой нет? Имелось ввиду именно это.

Цитата:

добавил группы MYDOMAIN\FlashWrite - Full Access, MYDOMAIN\FlashRead - Read Only

А это зачем? Там же создаются предустановливаются группы.

Nimnul

Цитата:

Ну и как ты на контроллере домена... запретишь останавливать службу локальным админам

На контроллере домена нет локальных пользователей. Это р-раз.
DeviceLock работает и в домене и в рабочей группе. Вопрос скорее в программы.
И вообще, товарищ, учите мат.часть, подробный хелп в дистрибутиве или на сайте.

Цитата:

на контроллере домена где не стоит сервис Devicelock

Именно там эта служба и не нужна. Надо различать Active Directory и просто ОСь. Это д-два.

Цитата:

А это зачем?

Затем, что так работает. Это т-три.
Ну и наконец:
Цитата:

Ну и как ты на контроллере домена где не стоит сервис Devicelock, запретишь останавливать службу локальным админам которой нет?

Це шедевр русской компьютерной словесности.

Zlobny_John

Цитата:

UncoNNecteD
А что - политики домена уже отменили ?

Когда ты локальный админ - можно править политики примененные машиной.

Ici Chacal
Nimnul

Цитата:

Да уж, с этого места поподробней пожалуйста!!!

Устанавливаете DeviceLock на контроллер домена (для того что бы он в сервис прописался), далее создаете политику в которой Сервис DeviceLock - будет запускаться автоматически и разрешено его тушить только тем пользователям которым вы разрешите... А остальным даете отлуп, что бы они даже свойства сервиса не могли посмотреть. Это настраивается тут: Соmputer Configuration - Windows Settings - Security Settings - System Services - DeviceLock Service

Ici Chacal

Цитата:

На контроллере домена нет локальных пользователей. Это р-раз.
DeviceLock работает и в домене и в рабочей группе. Вопрос скорее в программы.
И вообще, товарищ, учите мат.часть, подробный хелп в дистрибутиве или на сайте.

Малыш на контроллере домена заведена группа Local Admins, которая через Restrict Group разрешает некоторым Domain User быть админами на своих машинах. Откуда появился вопрос как запретить этим пользователям останавливать сервис DeviceLock, на что г-н nickloayev сказал буквально следующее:

Цитата:

дык а ты в политиках настрой что бы этот сервис могли остановить только доменные админы...

на что ты же (Ici Chacal) задал вопрос:

Цитата:

Добавлено:
nickloayev
Можно подробнее про

Цитата:
Цитата:
в политиках настрой что бы этот сервис могли остановить только доменные админы

Nimnul
Хватит, я думаю, нам горячиться. Все, что ты написал выше (кто гнал, да буровил, кто не доганяет...) - I.M.H.O. чистой воды флейм. Давай дело делать.

Цитата:

1.Расскажи где в политиках DC ты найдешь службу Device Lock при условии что она у тебя не установлена?
2.Как ты запретишь ее останавливать локальным администраторам которых нет?

Это вопросы, требующие решения! Тов.nickloayev описал возможный способ. Сейчас проверить не могу.
И давай не будем постить насчет того, как устроен домен. Это к теме не относится.
А насчет тормозов... у меня уже давно работает, может я медленный газ? Прошу прощения, я цитирую себя:

Цитата:

в оснастку Active Directory Users and Computers внедрен DeviceLock. Сделана отдельная политика установки на основе .msi файла. Все политики, кроме Flash оставлены пока по умолчанию. В Removable я повыкидывал стандартных юзеров кроме SYSTEM и добавил группы MYDOMAIN\FlashWrite - Full Access, MYDOMAIN\FlashRead - Read Only, создав их предварительно в Active Directory. Засовывая юзера в ту или иную группу я легко управляю его правами со своего рабочего места, выкину из обоих - он флешку даже открыть не сможет.

Еще раз повторяю: ТАК РАБОТАЕТ и во всех конторах, между прочим.

Цитата:

1.Расскажи где в политиках DC ты найдешь службу Device Lock при условии что она у тебя не установлена?

Именно по этому я и предложил установить на DC deviceLock как службу, и иначе она никак не появится... тут Nimnul прав...

Nimnul

Цитата:

поставить DeviceLock на DC (чего я в принципе делать не хочу), хотя так может быть и проще.

по каким соображениям не хочешь?

PS. Ребята давайте не наезжать друг на друга....

nickloayev

Цитата:

по каким соображениям не хочешь?

А зачем он нужен на DC? Физически доступ туда только у меня и напарника...

Nimnul

Цитата:

Физически доступ туда только у меня и напарника...

у меня так же дело обстоит, но отностительно DeviceLock, имхо удобнее запретить через политики, а не на каждой рабочей станции делать так как ты написал...

nickloayev
Так я сделал так только на одной машине (только для того что бы на моих двух DC не стояло лишних ненужных для них сервисов), а политика то распространилась на все 70 компьютеров
(неужели вы никогда не редактировали политики со своей рабочей машины? или у вас Администратор домена на контроллере домена и работает?)
Просто если вы хоть раз редактировали Restricted Group вам должно быть известно то, что если вы захотите одной доменной группе дать права локального администратора, то редактируя политики на DC такое сделать невозможно!

Nimnul

Цитата:

Так я сделал так только на одной машине

Я так понимаю, что машиной ты DC называешь. Иначе, расскажи мне, как на локальной машине, пусть и входящей в домен, можно указать службе, что ею рулит только Domain Admins? Я не вижу такого эккаунта в упор, может слепой? С DC вроде сделать можно, если верить nickloayev, но для этого нужна установленная служба, уступка проге вроде небольшая.

Ici Chacal

Цитата:

Я так понимаю, что машиной ты DC называешь.

Нет, не правильно понимаешь...

Цитата:

Иначе, расскажи мне, как на локальной машине, пусть и входящей в домен, можно указать службе, что ею рулит только Domain Admins?

Я уже сказал, ставишь adminpack.msi, и редактируешь групповую политику через оснастку "Active Directory Users & Computers" с любой машины входящей в домен. (разумеется нужно залогинится с соответствующими правами Domain Admins) и тогда в политике появится нужная служба, и ты сможешь удалить локальных админов из Security службы (запуск ставишь на автомат) оставив Full Control только группе Domain Admins (возьмешь с домена) и System (с локальной машины), политики применются ко всем компьютерам, членам домена, в твоей сети...
Как вы там говорите: "Учите матчасть!" юноша...
PS
Я кстати думаю ты по жизни очень шустрый, но не внимательный, по этому мой совет тебе, все-таки внимательнее перечитай всю ветку, а то я думаю ты опять ничего не поймешь... (т.к. в твоих постах логика не прослеживается т.е. ты не следишь за развитием темы, а тебе нужно ляпнуть свое мнение, не поняв сути изложенного до тебя... По крайней мере три твоих реакции на мои слова были не в тему и в следующий раз попрошу: "без наездов" пожалуйста, ну если без них не обойтись, то тогда уж подумай над текстом...)

Я же предлагал постить по делу. Не хотите - не надо.
Nimnul

Цитата:

Я уже сказал, ставишь adminpack.msi

Ну да. Ты мне еще про dcpromo напомни.
А потом, когда ты говорил про админпак? Что то я перечитал все посты и такого не нашел Попробуй, перечитай свои посты, там все жутко логично. Подозрения в некомпетентности, невнятное изложение своих мыслей, не прослеживается логика - это явно мой и только мой стиль.

Цитата:

тогда в политике появится нужная служба, и ты сможешь удалить локальных админов из Security службы (запуск ставишь на автомат) оставив Full Control только группе Domain Admins (возьмешь с домена) и System (с локальной машины), политики применются ко всем компьютерам, членам домена, в твоей сети

А вот это уже по делу, правда это должен был Nikolayev запостить. Опять же, пока проверить не могу.

Цитата:

Я кстати думаю ты по жизни очень шустрый, но не внимательный,

Я по жизни очень внимательный, очень не шустрый. Советы можно мне давать, но жизни учить не надо старших, юноша. И давай личные выпады в ПМ, дабы не засорять тему.

Ici Chacal

Цитата:

А потом, когда ты говорил про админпак? Что то я перечитал все посты и такого не нашел

А говоришь внимательный... (достаточно было только нажать Ctrl+F и забить "adminpack.msi" и ведь специально жирным выделил )

Цитата:

И давай личные выпады в ПМ, дабы не засорять тему.

Давай не будем, просто мне не понравились твои наезды, будем терпимее, но первым был твой выпад. А так ничего личного коллега Делаем одно дело, давай лучше менятся опытом.

Nimnul

Цитата:

неужели вы никогда не редактировали политики со своей рабочей машины? или у вас Администратор домена на контроллере домена и работает?)

именно так и делаю, но вот относительно devicelock что то я не подумал , действительно так проще...

Цитата:

Просто если вы хоть раз редактировали Restricted Group вам должно быть известно то, что если вы захотите одной доменной группе дать права локального администратора, то редактируя политики на DC такое сделать невозможно!

- к сожалению или к счастью не приходилось, можешь подкинуть линков, или так написать/обяснить в двух-трех-четырех словах, если конечно не тяжело, что бы топик не засорять то можно в пм, или по аське...

111

Если без дополнительных средств то можно и так:
device_lock.adm

Цитата:

CLASS MACHINE
CATEGORY "Блокирование устройств"
KEYNAME "system\currentcontrolset\services"
POLICY "Блокировать FDD"
KEYNAME "system\currentcontrolset\services\flpydisk"
#if VERSION >= 3
EXPLAIN "Отключение загрузки драйвера дисковода гибких дисков"
#endif
VALUENAME "start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY ; Блокировать FDD
POLICY "Блокировать USB"
KEYNAME "system\currentcontrolset\services\usbstor"
#if VERSION >= 3
EXPLAIN "Отключение загрузки драйвера накопителей USB"
#endif
VALUENAME "start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 3
END POLICY ; Блокировать USB
POLICY "Блокировать CD-ROM"
KEYNAME "system\currentcontrolset\services\cdrom"
#if VERSION >= 3
EXPLAIN "Отключение загрузки драйвера привода CD-ROM"
#endif
VALUENAME "start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY ; Блокировать CD-ROM
POLICY "Блокировать параллельный порт"
KEYNAME "system\currentcontrolset\services\parport"
#if VERSION >= 3
EXPLAIN "Отключение загрузки драйвера параллельного порта"
#endif
VALUENAME "start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY ; Блокировать параллельный порт
POLICY "Блокировать последовательные порты"
KEYNAME "system\currentcontrolset\services\serial"
#if VERSION >= 3
EXPLAIN "Отключение загрузки драйвера последовательных портов"
#endif
VALUENAME "start"
VALUEON NUMERIC 4
VALUEOFF NUMERIC 1
END POLICY ; Блокировать последовательные порты
END CATEGORY ; Блокирование устройств

[STRINGS]

Правда применимо только к компьютеру, но можно подумать и извратиться с помощью WMI.

На 10 Компов есть бесплатная версия у DeviceInspector, режим чтения тоже имеется.