sogdiev
что тебе не нравится? админу перечишь - вообще простым user'ом поставят.
это как влияет на твою работу?
что тебе не нравится? админу перечишь - вообще простым user'ом поставят.
это как влияет на твою работу?
» Групповые политики (Group Policy, GPO): документация, ссылки
sogdiev
Положено как раз так как сейчас у тебя есть. Если у меня пользователь надумает и даже как-то выведет машину из домена пойдет прямым ходом в безопасность на "душевные" беседы.
Положено как раз так как сейчас у тебя есть. Если у меня пользователь надумает и даже как-то выведет машину из домена пойдет прямым ходом в безопасность на "душевные" беседы.
sogdiev
а зачем?Домен создан что бы как-то управлять централизованно пользователей и что бы не было автономных юзеров,которые сами начинают на компе что-то делать
а зачем?Домен создан что бы как-то управлять централизованно пользователей и что бы не было автономных юзеров,которые сами начинают на компе что-то делать
понятно.
просто неприятно сознавать что ктото когда захочет сможет копаться в твоей машине.
я пароли на разные аккаунты храню в чистом виде
дома это не страшно - на 100% уверен что не утащит никто.
а здесь приходится софт ставить дополнительно для хранения паролей в зашифрованном виде.
просто неприятно сознавать что ктото когда захочет сможет копаться в твоей машине.
я пароли на разные аккаунты храню в чистом виде
дома это не страшно - на 100% уверен что не утащит никто.
а здесь приходится софт ставить дополнительно для хранения паролей в зашифрованном виде.
sogdiev
1) Надо просто понимать что это не ТВОЙ ЛИЧНЫЙ компьютер.
2) На работе надо работать.
3) Думаешь админам делать больше нечего, кроме как лазить по компам пользователей?
1) Надо просто понимать что это не ТВОЙ ЛИЧНЫЙ компьютер.
2) На работе надо работать.
3) Думаешь админам делать больше нечего, кроме как лазить по компам пользователей?
2 sogdiev
Пароли и очень важные вещи не надо хранить на рабочем компе.Если так уж надо,почитай топики есть как можно обойти эти вещи.
daishirus
Цитата:
1) +1
2) +1, но со временем можно чу-чуть заниматься личными делами
3) +5 так как не когда, хватит дел то что возникает по работе! А если при желании если за хочет то просто так не обойдешь
Пароли и очень важные вещи не надо хранить на рабочем компе.Если так уж надо,почитай топики есть как можно обойти эти вещи.
daishirus
Цитата:
sogdiev
1) Надо просто понимать что это не ТВОЙ ЛИЧНЫЙ компьютер.
2) На работе надо работать.
3) Думаешь админам делать больше нечего, кроме как лазить по компам пользователей?
1) +1
2) +1, но со временем можно чу-чуть заниматься личными делами
3) +5 так как не когда, хватит дел то что возникает по работе! А если при желании если за хочет то просто так не обойдешь
понятно...
я уже хотел написать - а что если я с ноутбуком личным работаю в корпоративной среде и у меня там куча личной информации?
но ответ можно предугадать - купи себе новый ноутбук для работы на работе... ххехх
Добавлено:
вообще можно конечно обойти - например фаервол поставить и заблокировать нетбиос.
но если нужны вдруг будут внутренние сервера, то придется разрешать нетбиос, что повлечет за собой обновление групповой политики... и опять придется чистить локальных админов
но этот выход геморный конечно...
я уже хотел написать - а что если я с ноутбуком личным работаю в корпоративной среде и у меня там куча личной информации?
но ответ можно предугадать - купи себе новый ноутбук для работы на работе... ххехх
Добавлено:
вообще можно конечно обойти - например фаервол поставить и заблокировать нетбиос.
но если нужны вдруг будут внутренние сервера, то придется разрешать нетбиос, что повлечет за собой обновление групповой политики... и опять придется чистить локальных админов
но этот выход геморный конечно...
Подскажите пожалуйста, как дать доступ человеку к рестарту сервиса на контроллере домена. Человек не входит в группы админов.
Через групповые политики дал ему доступ именно к этим двум сервисами на полное управление ( включение,в ыключение, рестарт и т.д). Проблема в том, что когда человек подключается через управление компьютером к контроллеру и выбирает закладку сервисы, ему напоминают, что у него нет прав.
Думал, что раз даны права на конкретные два сервиса, то должна работать команда sc \\server stop service
Но и она выдаёт отлуп по провам.
Перерыл ГПО, вроде таблички типа "дать права смотреть серсисы" не нашёл. Где искать подскажите пожалуйста.
Через групповые политики дал ему доступ именно к этим двум сервисами на полное управление ( включение,в ыключение, рестарт и т.д). Проблема в том, что когда человек подключается через управление компьютером к контроллеру и выбирает закладку сервисы, ему напоминают, что у него нет прав.
Думал, что раз даны права на конкретные два сервиса, то должна работать команда sc \\server stop service
Но и она выдаёт отлуп по провам.
Перерыл ГПО, вроде таблички типа "дать права смотреть серсисы" не нашёл. Где искать подскажите пожалуйста.
Подскажите можно ли в групповых политиках домена указать время работы пользователя.. например группа такая-то может работать за компьютером с 7:45 до 20:15 в понедельник и среду... если время вышло сеанс бы завершался... в не времени бы он зайти не смог...не нашел такое... или это делается только сторонними программами?
Brockan
можно указать logon hours в свойствах пользователя актив директори.
но не уверен что сеанс будет завершаться.
Добавлено:
еще здесь можно посмотреть, есть такая утилита LimitLogin она делает немного другое, но позволяет на квоты ставить скрипты, сам не пользовался - посмотрите может подойдет.
можно указать logon hours в свойствах пользователя актив директори.
но не уверен что сеанс будет завершаться.
Добавлено:
еще здесь можно посмотреть, есть такая утилита LimitLogin она делает немного другое, но позволяет на квоты ставить скрипты, сам не пользовался - посмотрите может подойдет.
Brockan, если топорно: logon hours + shutdown /a /f
Т.е. сделать разрешение на логин в определённое время + в шедулере настроить выход из системы с принудительным закрытием всех открытых приложений.
Т.е. сделать разрешение на логин в определённое время + в шедулере настроить выход из системы с принудительным закрытием всех открытых приложений.
sarti
Цитата:
Подробнее можно?
Цитата:
сделать разрешение на логин в определённое время + в шедулере настроить выход из системы с принудительным закрытием всех открытых приложений.
Подробнее можно?
на вкладке Учетная запись - время входа для юзверя
на компе скриптик который выполняется через шедуллер в заданное время и если залогинен пользователь такойто то завершает сеанс
Код: if %username% ==petrovxx shoutdown -l -f
на компе скриптик который выполняется через шедуллер в заданное время и если залогинен пользователь такойто то завершает сеанс
Код: if %username% ==petrovxx shoutdown -l -f
Это было бы наверное неплохо, когда в конторе 10-15 пользователей...
А если на предприятии 100-200 человек и больше...
И как минимум у половины из них нет своего компьютера и они пересаживаются с одно на другой или работают по сменам.
Не будешь же для каждого пользователя прописывать скрипт....
Ладно... буду ковырять дальше!
А если на предприятии 100-200 человек и больше...
И как минимум у половины из них нет своего компьютера и они пересаживаются с одно на другой или работают по сменам.
Не будешь же для каждого пользователя прописывать скрипт....
Ладно... буду ковырять дальше!
Добрый день
Не подскажете как восстановить локальные политики безопасности
после вывода компа из домена?
На компе Win XP Prof SP2
После вывода из домена gpedit.msc не запускается
Не подскажете как восстановить локальные политики безопасности
после вывода компа из домена?
На компе Win XP Prof SP2
После вывода из домена gpedit.msc не запускается
Brockan
Цитата:
довольно таки сложно оперировать параметром LogonHours т.к. он представлен в виде
который мне не понятен. посмотрите атрибут Logonhours с помошью ADSIEdit например.
у пользователя AD. Если понять по какому принципу меняется аттрибут, то тогда можно написать скрипт без особых сложностей. т.е. сложность фактически в том что мы не можем определить равно ли "текущее время в AD" , "разрешенному времеми входа для юзера".
вот в таком виде "FF FF 83 FF FF 83 FF FF FF FF FF FF FF FF FF FF FF FF FF FF 83" этот аттрибут.
вот так его можно получить.
Set objUserTemplate = GetObject("LDAP://cn=UserName,OU=manage,dc=firma,dc=ru")
arrLogonHours = objUserTemplate.Get("logonHours")
а вот как сравнить с текущем временем чтобы сделать логофф, вот тут у меня затык.
Добавлено:
могу добавить что этот атрибут (logonHours) возвращает 0 если разрешено входить всегда.
Цитата:
Ладно... буду ковырять дальше!
довольно таки сложно оперировать параметром LogonHours т.к. он представлен в виде
который мне не понятен. посмотрите атрибут Logonhours с помошью ADSIEdit например.
у пользователя AD. Если понять по какому принципу меняется аттрибут, то тогда можно написать скрипт без особых сложностей. т.е. сложность фактически в том что мы не можем определить равно ли "текущее время в AD" , "разрешенному времеми входа для юзера".
вот в таком виде "FF FF 83 FF FF 83 FF FF FF FF FF FF FF FF FF FF FF FF FF FF 83" этот аттрибут.
вот так его можно получить.
Set objUserTemplate = GetObject("LDAP://cn=UserName,OU=manage,dc=firma,dc=ru")
arrLogonHours = objUserTemplate.Get("logonHours")
а вот как сравнить с текущем временем чтобы сделать логофф, вот тут у меня затык.
Добавлено:
могу добавить что этот атрибут (logonHours) возвращает 0 если разрешено входить всегда.
Brockan
Цитата:
А в чем проблема назначить его через ГПО? тем более, что прописывать надо не пользователю а компу, в шедулер...
se111
Цитата:
http://techtasks.com/code/viewbookcode/1609
http://www.rlmueller.net/Programs/LogonHours.txt
Разберешься?
Цитата:
Не будешь же для каждого пользователя прописывать скрипт....
А в чем проблема назначить его через ГПО? тем более, что прописывать надо не пользователю а компу, в шедулер...
se111
Цитата:
а вот как сравнить с текущем временем чтобы сделать логофф, вот тут у меня затык
http://techtasks.com/code/viewbookcode/1609
http://www.rlmueller.net/Programs/LogonHours.txt
Разберешься?
FreemanRU
да. благодарю. познавательно.
думаю на след неделе попробую для товарища скриптик на калаякать.
да. благодарю. познавательно.
думаю на след неделе попробую для товарища скриптик на калаякать.
Asagiri
Цитата:
скажи,пожалуйста,на каком именно компе скрипт ложится??? на сервере,или у юзверя??? И где он лежит??? как открыть этот скрипт,и понять,что в нём написано???
Цитата:
на компе скриптик который выполняется через шедуллер
скажи,пожалуйста,на каком именно компе скрипт ложится??? на сервере,или у юзверя??? И где он лежит??? как открыть этот скрипт,и понять,что в нём написано???
PPL
Добавь в реестр
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\System]
"DisableGPO"=dword:00000001
И перегрузи.
Добавь в реестр
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\System]
"DisableGPO"=dword:00000001
И перегрузи.
вопрос следущий:
пользователю нужно запускать скрипты в определенное время, делает задание в стандортном виндовом щедулере. НО при запуске задания, в статусе пишет что стартовать неможет. под своим логином. а когда вписываеться логин админа, то процес стартует.
собственно вопрос. как можно через гпо разрешить этому пользователю запуск шедулера, недавая ему админ права?
при этом, если запускать скрипт из командной строки, то скрипт выполняеться.
пользователю нужно запускать скрипты в определенное время, делает задание в стандортном виндовом щедулере. НО при запуске задания, в статусе пишет что стартовать неможет. под своим логином. а когда вписываеться логин админа, то процес стартует.
собственно вопрос. как можно через гпо разрешить этому пользователю запуск шедулера, недавая ему админ права?
при этом, если запускать скрипт из командной строки, то скрипт выполняеться.
Знающие админы подскажите пожалуйста где в групповой полмтике:
01. Выключить сообщение эксплорера о том действительно ли я хочу запустить файл при запуске исполняемого файла из локальной сети на ХРСП2.
02. Выключить сообщение эксплорера о том действительно ли я хочу скопировать файл при копировании файлов в локальной сети на 2003R2SP2.
03. Добавить в меню пуск перезагрузку и завершение работы при заходе по RDP на ХРСП2.
Уже кучу инфы перечитал никак не могу найти ответы. У кого только не спрашивал никто не знает.
01. Выключить сообщение эксплорера о том действительно ли я хочу запустить файл при запуске исполняемого файла из локальной сети на ХРСП2.
02. Выключить сообщение эксплорера о том действительно ли я хочу скопировать файл при копировании файлов в локальной сети на 2003R2SP2.
03. Добавить в меню пуск перезагрузку и завершение работы при заходе по RDP на ХРСП2.
Уже кучу инфы перечитал никак не могу найти ответы. У кого только не спрашивал никто не знает.
IDaho
Думаю будет достаточным локальный админ машине.По крайней мере у меня backup через локального админа идет.
Думаю будет достаточным локальный админ машине.По крайней мере у меня backup через локального админа идет.
Прошу прощения, но кажется вопрос сюда:
одна сеть. Домен Win2003. Машины с XP.
Есть две машины: в одной группе, к ним применяется одна учетная политика.
Но на одной машине IE 6.0, на другой 7.0.
На той, которая с 7.0 напрочь в свойствах обзревателя заблокирована возможность добавления узла в "Надежные узлы", т.е. открывается, но ничего не активно. На машинах с 6 IE все работает.
Где в политиках это регулируется? Как заставить активизировать кнопки под 7 осла?
одна сеть. Домен Win2003. Машины с XP.
Есть две машины: в одной группе, к ним применяется одна учетная политика.
Но на одной машине IE 6.0, на другой 7.0.
На той, которая с 7.0 напрочь в свойствах обзревателя заблокирована возможность добавления узла в "Надежные узлы", т.е. открывается, но ничего не активно. На машинах с 6 IE все работает.
Где в политиках это регулируется? Как заставить активизировать кнопки под 7 осла?
JekaRus
1. user configuration->administrative teamplates->windows components->attachment manager->Inclusion list for low file types, здесь задаешь нужные расширения файлов.
3. Я уже писал тебе, пуск->настройка->безопсность.
Если не нравиться создай на рабочем столе батник(или в другом месте, тогда на рабочий стол помести ярлык), типа: shutdown /s /t 1 - если нужно завершение работы, или shutdown /r /t 1 - если нужнв перезагрузка.
1. user configuration->administrative teamplates->windows components->attachment manager->Inclusion list for low file types, здесь задаешь нужные расширения файлов.
3. Я уже писал тебе, пуск->настройка->безопсность.
Если не нравиться создай на рабочем столе батник(или в другом месте, тогда на рабочий стол помести ярлык), типа: shutdown /s /t 1 - если нужно завершение работы, или shutdown /r /t 1 - если нужнв перезагрузка.
Brockan
Цитата:
как уже здесь сказали:
Цитата:
и не надо никаких скриптов городить
Цитата:
Подскажите можно ли в групповых политиках домена указать время работы пользователя.. например группа такая-то может работать за компьютером с 7:45 до 20:15 в понедельник и среду... если время вышло сеанс бы завершался... в не времени бы он зайти не смог...не нашел такое... или это делается только сторонними программами?
как уже здесь сказали:
Цитата:
на вкладке Учетная запись - время входа для юзверяи в гпо конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - параметры безопасности - Сетевая безопасность:Принудительный выход из сеанса по истечении допустимых часов работы
и не надо никаких скриптов городить
rkhodjaev
т.е. минуя домен? избежать выдачи админ прав возможно?
т.е. минуя домен? избежать выдачи админ прав возможно?
IDaho
Да без админ прав домена!
Да без админ прав домена!
Можно ли через групповые политики назначать права доступа к файлам?
stop27
Цитата:
Для этого существуют разрешения NTFS.
Цитата:
Можно ли через групповые политики назначать права доступа к файлам?
Для этого существуют разрешения NTFS.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576
Предыдущая тема: Шарю по net share: Системная ошибка 5. Отказано в доступе
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.