Здравствуйте, может кто сталкивался. Хочу чтобы при в ходе в домен у пользователя запускалась определённая служба, и он не мог ни каким оброзом её выключить, разве что зайти под локальным админом, + для этого сервиса нужны парочку ключей в реестре, как бы их тоже определить и запретить изменять? Очень, очень надо организовать подобное.
» Запретить пользователям останавливать службы (Windows)
Nerian
Политики безопасности->Конфигурация Компьютера->Конфигурация WIndows
Тебе нужны соответсвенно:
Системные службы
Реестр.
Там можно выставить любые разрешения....
Политики безопасности->Конфигурация Компьютера->Конфигурация WIndows
Тебе нужны соответсвенно:
Системные службы
Реестр.
Там можно выставить любые разрешения....
Неспорю, но там можно только ставить права, а мне хотелось бы чтобы ключик ставился п ри этом. Например пользователь зашёл, ему сразу нужный ключ в реестр прописался, и потом прова мол менять это нельзя. Как быть?
Nerian
Если я правильно понял, тебе надо менять параметры службы?
Если да - то в старт-ап скрипте пиши что надо и все...
Если я правильно понял, тебе надо менять параметры службы?
Если да - то в старт-ап скрипте пиши что надо и все...
Но понимаешь у пользователя то небудет прав чтобы он изменял эти ключи в реесте, а скрипт будет от его имени выполняться, так что этот вариант помоему не подходит
Nerian
Не путай логон-скрипт и старт-ап... последний выполняется при старте компа от имени SYSTEM
Не путай логон-скрипт и старт-ап... последний выполняется при старте компа от имени SYSTEM
Это конечно всё хорошо, но что если пользователь зайдёт под локальным администратором и остановит сервис, а потом зайдёт уже под учётной записью домена? нужно чтобы обязательно этот сервис был запущен. В моём случае это радмин, и умные люди которые занимаються хернёй его закрывают 
Nerian
1. Какого лешего у тебя пользователи знают пароль на локального админа? Меняй централизованно во всем домене на что-нить из 20-30 символов.
2. Разреши остановку службы только доменный админам. Тока локальным ЗАПРЕЩАТЬ не надо, т.к. тогда и доменные потеряют это право.
1. Какого лешего у тебя пользователи знают пароль на локального админа? Меняй централизованно во всем домене на что-нить из 20-30 символов.
2. Разреши остановку службы только доменный админам. Тока локальным ЗАПРЕЩАТЬ не надо, т.к. тогда и доменные потеряют это право.
Насчёт какого лешиго: прогеры то не бухгалтера, в инете прог на скачиваю, и пасы крякают на локальных машинах Так что как никрутись нужно чтобы этим делом чётко рулил контролер домена
Так что как никрутись нужно чтобы этим делом чётко рулил контролер домена Nerian
Цитата:
а за это по рукам надавать не? Да и вообще - админ царь и бог, как он захочет так и будет, тут с ним воевать не стоит... НАмекни своим на это, пусть успокоятся....
Цитата:
прогеры то не бухгалтера, в инете прог на скачиваю, и пасы крякают на локальных машинах
а за это по рукам надавать не? Да и вообще - админ царь и бог, как он захочет так и будет, тут с ним воевать не стоит... НАмекни своим на это, пусть успокоятся....
Запрети качать программы. Закрой доступ к диску C.
Это конечно всё хорошо, но что если пользователь зайдёт под локальным администратором и остановит сервис, а потом зайдёт уже под учётной записью домена? нужно чтобы обязательно этот сервис был запущен. В моём случае это радмин, и умные люди которые занимаються хернёй его закрывают.
------------------------------------------
1.А если он будет заходить в домен. То будет применена политика пользователя домена.
И компьютерная тоже.
2. Дать привелегии остановки служб только конкретному аккаунту. И желательно доменному. И пофиг, что они зайдут локальным админом. Службу не остановят.
3. Не давать прогерам прав админа. А зачем они им ? давай права отладки через привелегии. И вообще решай эти вопросы через их начальство. Мотивация проста. "Они мешают работать."
------------------------------------------
1.А если он будет заходить в домен. То будет применена политика пользователя домена.
И компьютерная тоже.
2. Дать привелегии остановки служб только конкретному аккаунту. И желательно доменному. И пофиг, что они зайдут локальным админом. Службу не остановят.
3. Не давать прогерам прав админа. А зачем они им ? давай права отладки через привелегии. И вообще решай эти вопросы через их начальство. Мотивация проста. "Они мешают работать."
Спасибо, сегодня обязательно всё попробую.
Подскажите, пожалуйста, как можно делегировать управление службами на локальном компьютере доменному пользователю? Использование GPO не подходит, т.к. необходимо разрешить только определённому пользователю управлять определённой службой на определённом компьютере.
PIL123
gpedit.msc а далее см. мой первый пост.
gpedit.msc а далее см. мой первый пост.
FreemanRU
Цитата:
В доменной политике такое дело есть: Computer Configuration\Windows Settings\Security Settings\System Services, а вот на локальной машине такого нет. Весь указанный выше путь вплоть до Security Settings есть, а вот в нём System Services нет. Разве это только у меня одного такое?
Цитата:
gpedit.msc а далее см. мой первый пост.
В доменной политике такое дело есть: Computer Configuration\Windows Settings\Security Settings\System Services, а вот на локальной машине такого нет. Весь указанный выше путь вплоть до Security Settings есть, а вот в нём System Services нет. Разве это только у меня одного такое?
PIL123
Сорри, да, локального такого нет.
sc sdset /?
А тут как описывать SDDL-формат:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/ace_strings.asp
Сорри, да, локального такого нет.
sc sdset /?
А тут как описывать SDDL-формат:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secauthz/security/ace_strings.asp
Такой вопрос:
Как можно дать право пользователю в домене запускать и останавливать определенную службу на локальном компьютере
Как можно дать право пользователю в домене запускать и останавливать определенную службу на локальном компьютере
sysxxx
FreemanRU
PIL123
Не совсем по теме, т.к. непонятно, будет ли работать в домене: http://forum.ru-board.com/topic.cgi?forum=8&topic=36116
FreemanRU
PIL123
Не совсем по теме, т.к. непонятно, будет ли работать в домене: http://forum.ru-board.com/topic.cgi?forum=8&topic=36116
Удобная оснастка для управления правами пользователя при доступе к системным службам
http://nashdisk.ru/3169fb/
http://nashdisk.ru/3169fb/
Страницы: 1
Предыдущая тема: Групповые политики (Group Policy, GPO): документация, ссылки
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.