Как через GPO запретить доменному юзверю запретить доступ к шарам в локальной сети?
» GPO - запретить пользователю доступ к шарам
bolegka
Цитата:
Default Domain Policy->Computer Configuration -> Windows Settings ->Security Settings ->Local Policies->User Rights Assignment->Deny acess to this computer from network - добавляешь того пользователя кому хочешь запретить доступ ко всем компам, если нет политик которые перекрывают это правило
Цитата:
Как через GPO запретить доменному юзверю запретить доступ к шарам в локальной сети?
Default Domain Policy->Computer Configuration -> Windows Settings ->Security Settings ->Local Policies->User Rights Assignment->Deny acess to this computer from network - добавляешь того пользователя кому хочешь запретить доступ ко всем компам, если нет политик которые перекрывают это правило
nickloayev
Прошу прощения. У меня стоит такая же задача. Надо запретить доступ с компа одного определенному пользователю к шарам доменной сети.
Цель - сделать отдельный комп для выхода в Инет, но чтобы из сети нельзя было в него что-нить записать.
Этот метод я попробовал - но почему-то не сработало. Я так же имею доступ к шарам, как и раньше.
Прошу прощения. У меня стоит такая же задача. Надо запретить доступ с компа одного определенному пользователю к шарам доменной сети.
Цель - сделать отдельный комп для выхода в Инет, но чтобы из сети нельзя было в него что-нить записать.
Этот метод я попробовал - но почему-то не сработало. Я так же имею доступ к шарам, как и раньше.
2Realmagnum
Не понял - надо запретить доступ с компа к шаркам в локальной сети или из локальной сети к шаркам этого компа?
А вообще посоветую сделать так: создайте две глобальных группы безопасности, в одну включите пользователей, которые должны иметь доступ к шаркам, а в другую тех - которые не должны иметь доступа. Затем настройте соответствующие разрешения (NTFS или на шарку) на эти ресурсы - всё!
Не понял - надо запретить доступ с компа к шаркам в локальной сети или из локальной сети к шаркам этого компа?
А вообще посоветую сделать так: создайте две глобальных группы безопасности, в одну включите пользователей, которые должны иметь доступ к шаркам, а в другую тех - которые не должны иметь доступа. Затем настройте соответствующие разрешения (NTFS или на шарку) на эти ресурсы - всё!
veryom
Именно первый вариант.
Мне не хочяется перелопачивать все шары на серверах, дабы настроить их на недоступ определенному пользователю.
Вы высказали общие пожелания и пути. Но как реально их реализовать, совершенно непонятно.
Доступ к этому компу я могу и так запретить групповыми политиками и NTFS-рулесами.
Вся загвоздка как раз в том, чтобы не довать пользователю с этого компа иметь доступ в сеть. Причем мне не хотелось бы выводить этот комп из домена.
Может кто посоветует какие сторонние программы?
Именно первый вариант.
Мне не хочяется перелопачивать все шары на серверах, дабы настроить их на недоступ определенному пользователю.
Вы высказали общие пожелания и пути. Но как реально их реализовать, совершенно непонятно.
Доступ к этому компу я могу и так запретить групповыми политиками и NTFS-рулесами.
Вся загвоздка как раз в том, чтобы не довать пользователю с этого компа иметь доступ в сеть. Причем мне не хотелось бы выводить этот комп из домена.
Может кто посоветует какие сторонние программы?
2Realmagnum
Если стоит задача запретить доступ с компа к шаркам в сети, то "перелопачивать все шары на серверах" всё-таки придётся. Только запретить доступ в разрешениях надо не отдельному пользователю, а группе безопасности (Security Group), в которую Вы включите данный компьютер. Группа безопасности нужна для облегчения администрирования - если в будущем у Вас появится второй компьютер, подключённый к Интернет, то будет достаточно просто внести его в эту группу. Вносить в группу нужно именно учётку компа, а не юзера, т.к. на данный комп потенциально могут заходить и другие юзеры домена. И вообще, хорошая практика системного администрирования подразумевает оперирование группами, а не отдельными учётками.
Порядок действий:
1. Создаём глобальную группу безопасности.
2. Включаем в эту группу учётную запись нашего компьютера.
3. Если у Вас на расшаренных каталогах не отменено наследование, то достаточно в NTFS-разрешениях запретить доступ к вышестоящему каталогу созданной группе. Если наследование отменено, то придётся "перелопачивать все шары на серверах"
Результат - любой юзер, зашедший на на комп, не сможет получить доступ к шаркам.
Если стоит задача запретить доступ с компа к шаркам в сети, то "перелопачивать все шары на серверах" всё-таки придётся. Только запретить доступ в разрешениях надо не отдельному пользователю, а группе безопасности (Security Group), в которую Вы включите данный компьютер. Группа безопасности нужна для облегчения администрирования - если в будущем у Вас появится второй компьютер, подключённый к Интернет, то будет достаточно просто внести его в эту группу. Вносить в группу нужно именно учётку компа, а не юзера, т.к. на данный комп потенциально могут заходить и другие юзеры домена. И вообще, хорошая практика системного администрирования подразумевает оперирование группами, а не отдельными учётками.
Порядок действий:
1. Создаём глобальную группу безопасности.
2. Включаем в эту группу учётную запись нашего компьютера.
3. Если у Вас на расшаренных каталогах не отменено наследование, то достаточно в NTFS-разрешениях запретить доступ к вышестоящему каталогу созданной группе. Если наследование отменено, то придётся "перелопачивать все шары на серверах"
Результат - любой юзер, зашедший на на комп, не сможет получить доступ к шаркам.
veryom
Ты бы проверял, прежде чем советовать.
Цитата:
те, кому явно не дан доступ, его не получат. Вторая группа совершенно не нужна.
Цитата:
так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service". К пользователям это никакого отношения не имеет.
Realmagnum
Похоже, что на серверах есть файлопомойки с Everyone:Full? Тогда придется или перелопачивать их, или логиниться на том компе не-доменным пользователем.
Ты бы проверял, прежде чем советовать.
Цитата:
а в другую тех - которые не должны иметь доступа.
те, кому явно не дан доступ, его не получат. Вторая группа совершенно не нужна.
Цитата:
Включаем в эту группу учётную запись нашего компьютера.
так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service". К пользователям это никакого отношения не имеет.
Realmagnum
Похоже, что на серверах есть файлопомойки с Everyone:Full? Тогда придется или перелопачивать их, или логиниться на том компе не-доменным пользователем.
Refugee
Цитата:
Мы запрещаем доступ только данному УДАЛЁННОМУ компу к шарам на СЕРВЕРЕ, причём здесь процессы, запущенные от "Local System" или "Network Service"?! Если ты имеешь ввиду процессы на сервере, то мы им ничего не запрещаем, а если - на ПК домена, то процессы под этими учётками и так не получат доступа к шарам. Что ты имел ввиду?! Подумай сам - зачем процессам, запущенным на рядовом компьютере домена доступ к шарам на сервере?
Цитата:
Как так??! Если пользователь войдёт в домен на данном ПК, он не получит доступа к шаркам, а если войдёт в домен на каком-нибудь другом ПК - получит.
Цитата:
Группа, в которою входят пользователи, не должные иметь доступ к ресурсам, нужна для лучшей структуризации, но согласен, можно её и не заводить.
Этот комп будет подключен к Интернет (скорее всего напрямую, не через аппаратный файрвол и прокси-сервер), а значит предложенные мной действия - минимально необходимые. По-хорошему этот комп вообще нужно вывести из домена и отключить от ЛВС.
Цитата:
так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service"
Мы запрещаем доступ только данному УДАЛЁННОМУ компу к шарам на СЕРВЕРЕ, причём здесь процессы, запущенные от "Local System" или "Network Service"?! Если ты имеешь ввиду процессы на сервере, то мы им ничего не запрещаем, а если - на ПК домена, то процессы под этими учётками и так не получат доступа к шарам. Что ты имел ввиду?! Подумай сам - зачем процессам, запущенным на рядовом компьютере домена доступ к шарам на сервере?
Цитата:
К пользователям это никакого отношения не имеет
Как так??! Если пользователь войдёт в домен на данном ПК, он не получит доступа к шаркам, а если войдёт в домен на каком-нибудь другом ПК - получит.
Цитата:
Вторая группа совершенно не нужна
Группа, в которою входят пользователи, не должные иметь доступ к ресурсам, нужна для лучшей структуризации, но согласен, можно её и не заводить.
Этот комп будет подключен к Интернет (скорее всего напрямую, не через аппаратный файрвол и прокси-сервер), а значит предложенные мной действия - минимально необходимые. По-хорошему этот комп вообще нужно вывести из домена и отключить от ЛВС.
veryom
К шарам подключаются пользователи, а не компы. Те "компы", которые ты добавляшеь в DACL - это специальные пользователи, которыми авторизуются сервисы на том компе при подключении к шарам. С другими пользователями они никак не пересекаются.
Цитата:
Например - чтобы winlogon мог прочитать policy с \\domain\sysvol\
Цитата:
проверь сам.
К шарам подключаются пользователи, а не компы. Те "компы", которые ты добавляшеь в DACL - это специальные пользователи, которыми авторизуются сервисы на том компе при подключении к шарам. С другими пользователями они никак не пересекаются.
Цитата:
зачем процессам, запущенным на рядовом компьютере домена доступ к шарам на сервере?
Например - чтобы winlogon мог прочитать policy с \\domain\sysvol\
Цитата:
Если пользователь войдёт в домен на данном ПК, он не получит доступа к шаркам, а если войдёт в домен на каком-нибудь другом ПК - получит.
проверь сам.
Refugee
Привожу выдержку из книги "Управление и поддержка Microsoft Windows Server 2003. MCSA/MCSE, экзамен 70-290. Официальное пособие Microsoft для самостоятельной подготовки"
"Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматривали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запретить с него доступ к секретным данным, руководитель не сможет обратиться к секретным данным из комнаты отдыха и будет работать с ними только с собственного компьютера." (Глава 6 "Файлы и папки", Занятие 2 "Настройка разрешений файловой системы", стр. 155)
Цитата:
Завтра на работе обязательно проверю и "о результатах доложу"
Цитата:
Так я же не запрещаю доступ учётной записи компьютера к шарам SYSVOL и NETLOGON. Я запрещаю доступ только к каталогам файловых ресурсов. И в своём вопросе имел ввиду доступ именно к этим каталогам файловых ресурсов.
Привожу выдержку из книги "Управление и поддержка Microsoft Windows Server 2003. MCSA/MCSE, экзамен 70-290. Официальное пособие Microsoft для самостоятельной подготовки"
"Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматривали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запретить с него доступ к секретным данным, руководитель не сможет обратиться к секретным данным из комнаты отдыха и будет работать с ними только с собственного компьютера." (Глава 6 "Файлы и папки", Занятие 2 "Настройка разрешений файловой системы", стр. 155)
Цитата:
проверь сам
Завтра на работе обязательно проверю и "о результатах доложу"
Цитата:
чтобы winlogon мог прочитать policy с \\domain\sysvol\
Так я же не запрещаю доступ учётной записи компьютера к шарам SYSVOL и NETLOGON. Я запрещаю доступ только к каталогам файловых ресурсов. И в своём вопросе имел ввиду доступ именно к этим каталогам файловых ресурсов.
Проверил. Сервер - Windows 2000 Advanced Server, клиент - Windows XP. Включал учётную запись компьютера клиента в ACL, запрещаел доступ. Действительно, не работает, доступ всё равно к шарке есть 
. Может быть, будет работать под Windows Server 2003? Или надо выполнить другую последовательность действий?
Кто знает, подскажите, можно ли запретить доступ к расшаренному ресурсу по учётной записи компьютера, т.е. не зависимо от пользователя, вошедшего с этотого компьютера в домен (смотрите мой пост выше)? Где можно почитать именно об учётных записях компьютера и об ограничении на её основе доступа к ресурсам?
. Может быть, будет работать под Windows Server 2003? Или надо выполнить другую последовательность действий? Кто знает, подскажите, можно ли запретить доступ к расшаренному ресурсу по учётной записи компьютера, т.е. не зависимо от пользователя, вошедшего с этотого компьютера в домен (смотрите мой пост выше)? Где можно почитать именно об учётных записях компьютера и об ограничении на её основе доступа к ресурсам?
я лично с учётными записями компьютера ничего добиться не смог
Как я понял вопрос нужно следующее: Имеется некий компьютер или группа компьютеров к котор(ой/ому) не должно быть доступа из сети других пользователей.
Данную проблему у себя я решил через GPO.
1. Складываем объекты компьютеров в один OU.
2. Создаем для OU GPO или несколько GPO для разных OU(кому как).
3. Редактируем политику: Конфигурация компьютера\Конфигурация Windows\Локальные политики\Назначение прав пользователя\Отказ в доступе к компьютеру из сети
4. Добавляем в этот список пользователей и группы которым запрещен доступ к компьютеру из сети.
У меня работает.
Данную проблему у себя я решил через GPO.
1. Складываем объекты компьютеров в один OU.
2. Создаем для OU GPO или несколько GPO для разных OU(кому как).
3. Редактируем политику: Конфигурация компьютера\Конфигурация Windows\Локальные политики\Назначение прав пользователя\Отказ в доступе к компьютеру из сети
4. Добавляем в этот список пользователей и группы которым запрещен доступ к компьютеру из сети.
У меня работает.
shadowonline
Цитата:). Т.е. доступ должен запрещаться/разрешаться не по учётной записи пользователя, а по учётной записи компьютера. Чтобы пользователи, имея доступ к каким-нибудь каталогам в сети, не имели доступа к этим же каталогам с одного определённого компьютера, например, с компьютера общего пользования.
Цитата:
Имеется некий компьютер или группа компьютеров к котор(ой/ому) не должно быть доступа из сети других пользователейНаоборот, имеется некий компьютер или группа компьютеров, с которого/которых не должно быть доступа к определённым ресурсам сети (читай мой пост с цитатой из умной книжки
). Т.е. доступ должен запрещаться/разрешаться не по учётной записи пользователя, а по учётной записи компьютера. Чтобы пользователи, имея доступ к каким-нибудь каталогам в сети, не имели доступа к этим же каталогам с одного определённого компьютера, например, с компьютера общего пользования.veryom
Цитата:
Всё же Users Rights это не файловая система.
Refugee сказал в данном случае верно.
Цитата:
Хотя применительно к ФС это не так.
Цитата:
Настройка разрешений файловой системы
Всё же Users Rights это не файловая система.
Refugee сказал в данном случае верно.
Цитата:
так можно запретить доступ к шарам процессам, запущенным от "Local System" или "Network Service
Хотя применительно к ФС это не так.
Вопрос (может конечно и не сюда) как через GPO запретить юзерам вообше шарить папки?
SeT
Юзеры под какими ОС сидят? Если под Win2000/XP, то юзер под учёткой простого пользователя никак не может "шарить папки".
Юзеры под какими ОС сидят? Если под Win2000/XP, то юзер под учёткой простого пользователя никак не может "шарить папки".
veryom оси ХР юзера сидят локальными админами...поэтому и возникает вопрос запрета.
Вопрос тот-же, что и у SeT-а.
А почему юзера сидят локальными админами (и не только локальными), лично у меня объясняется просто. Под пользователем домена и локальным админом AUTOCAD 2002 (2000) ругается матом при запуске, и работает криво насмерть. Перейти на более новую версию автогада не представляется возможным (по причинам совместимости со сторонним ПО). Посему вынужден ставить Domain admins. Попытки открыть ключи реестра на запись-чтение в Domain users успехом не увенчались.
Остается только одно - запретить юзерам шарить папки и ограничить доступ по \\computer_name\c(d,e)$.
вопрос - как?
А почему юзера сидят локальными админами (и не только локальными), лично у меня объясняется просто. Под пользователем домена и локальным админом AUTOCAD 2002 (2000) ругается матом при запуске, и работает криво насмерть. Перейти на более новую версию автогада не представляется возможным (по причинам совместимости со сторонним ПО). Посему вынужден ставить Domain admins. Попытки открыть ключи реестра на запись-чтение в Domain users успехом не увенчались.
Остается только одно - запретить юзерам шарить папки и ограничить доступ по \\computer_name\c(d,e)$.
вопрос - как?
oneman33
Если юзер - админ домена (или локалный админ), то никак ты его не ограничишь. Админ домена - бог в локальной доменной сети. С юзерами в качестве админов домена ты по краю ходишь (завтра у тебя какой-нибудь юзер порушит AD и морду кирпичом - мол, не знаю, не ведаю - а тебе отвечать).
Поставь автокад на свою или экспериментальную машину и поэкспериментируй - может, дело в правах NTFS на какие-нибудь каталоги, может, нужен административный доступ к веткам реестра, может, нужна какая-нибудь привилегия и т.д.
Если юзер - админ домена (или локалный админ), то никак ты его не ограничишь. Админ домена - бог в локальной доменной сети. С юзерами в качестве админов домена ты по краю ходишь (завтра у тебя какой-нибудь юзер порушит AD и морду кирпичом - мол, не знаю, не ведаю - а тебе отвечать).
Поставь автокад на свою или экспериментальную машину и поэкспериментируй - может, дело в правах NTFS на какие-нибудь каталоги, может, нужен административный доступ к веткам реестра, может, нужна какая-нибудь привилегия и т.д.
veryom
Цитата:
....локального админа как раз то можно ограничить груповой политикой домена!
Цитата:
Если юзер - админ домена (или локалный админ)
....локального админа как раз то можно ограничить груповой политикой домена!
SeT
Цитата:
Цитата:
....локального админа как раз то можно ограничить груповой политикой домена!...до тех пор, пока этого хочет сам локальный админ. А попадётся "продвинутый" вредный (или глупый) пользователь - никак ты его не ограничишь на его машине, если он будет локальным админом.
veryom
Цитата:
Ерунда... локального админа так можно зарезать, что мама не горюй... вам надо бы в игровых салонах поработать, узнаете как это делается
Цитата:
...до тех пор, пока этого хочет сам локальный админ.
Ерунда... локального админа так можно зарезать, что мама не горюй... вам надо бы в игровых салонах поработать, узнаете как это делается
Господа не отходим от темы! Все же как запретить ДОСТУП? Вообще чтобы вкладки ДОСТУП не было. Безопасность убирается а вот про ДОСТУП чет не нашел где.
Мда.. наэксперементировался 
Вырубил и доступ, и расшаривание, и еще много чего (в том числе и установку программ - удаление работает ) у администраторов домена !!! . Теперь пытаюсь включить хотя бы что-нить, что не работает, а пока не получается, блин.
Пошел через OU (Organisation unit) - создал уникальные групповые политики для каждого OU, настроил их, потом вбил в OU тех пользователей, которых ввел в группу администраторов домена и кому надо было отрубить шары. Правда, где-то перемудрил, и отрубилось еще много чего нужного.
Попытка повысить пользователей домена в правах при помощи OU пока успеха не привела. (что непонятно!)
Хотя, видимо, все дело в RSOP (результировании объектов групповой политики) и областями действия и условиями перекрытия. А где и как, пока не пойму.
Эксперименты буду продолжать. Если доберусь до нормального результата, отпишусь.
Вырубил и доступ, и расшаривание, и еще много чего (в том числе и установку программ - удаление работает
) у администраторов домена !!! . Теперь пытаюсь включить хотя бы что-нить, что не работает, а пока не получается, блин. Пошел через OU (Organisation unit) - создал уникальные групповые политики для каждого OU, настроил их, потом вбил в OU тех пользователей, которых ввел в группу администраторов домена и кому надо было отрубить шары. Правда, где-то перемудрил, и отрубилось еще много чего нужного.
Попытка повысить пользователей домена в правах при помощи OU пока успеха не привела. (что непонятно!)
Хотя, видимо, все дело в RSOP (результировании объектов групповой политики) и областями действия и условиями перекрытия. А где и как, пока не пойму.
Эксперименты буду продолжать. Если доберусь до нормального результата, отпишусь.
oneman33
Как вырубил?
Как вырубил?
Народ ну так как через GPO запретить юзерам вообше шарить папки? Кто нибудь нашел решение? Отпишитесь как.
SeT Шарить? А шарить могут только админы. Убираешь юзеров из админов и все.
paranoya prod хех..а тему с начала прочитать?! Юзера сидят локальными админами!!!!! (так надо для определённых задач!) Нужно ч/з GPO запретить пользователям домена расшаривать папки.
SeT
Цитата:
Нету таких задач, для которых пользователи должны быть админами. Поверьте, у нас их 400, и всего 3 локальных админа - шеф и его замы.
Цитата:
так надо для определённых задач
Нету таких задач, для которых пользователи должны быть админами. Поверьте, у нас их 400, и всего 3 локальных админа - шеф и его замы.
Предыдущая тема: Как на раб. станции отменить групповую политику (GPO)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.