-=Помощь свеже испечёному админу=-
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
-=Помощь свеже испечёному админу=- - 2008-03-29 23:58:04.140000
|
|
|
Xakep9009
Сообщений: 1067
Оценки: 0
Присоединился: 2006-08-28 02:34:39
|
Недавно меня приняли работать админом…в салидную компанию за то что я у них вскрыл систему(сидел под админом)Но как вы наверное поняли….после того как меня приняли…меня попросили устранить неполадки….и теперь я как молодой админ хотел бы чтобы опытные парни мне подсказывали в этой теме по тем вопросам которые возникли….и такие же "свежие пирожки" задавали вопросы в этом топе ….
Но перед тем как … хочу уточнить ….у меня в распоряжении локальная сеть из 20 компов…под Windows XP я (понятное дело) рутт
И вот мои первые вопросы…
_________________________________
1)У меня на всех локальных компах стоит IE 7.0 как можно сделать так , чтобы они(пользователи) не могли зайти на один определённый сайт….с помощью какой проги…или стандартных утилит можно осуществить это*?(можно привести пример….тот кто ходит в макдак…знает что там есть 2 компа под пользование…но при этом через ОСЛА можно войти только на несколько сайтов….и не более)
2)У каждого пользователя есть один ЮСБи порт….можно ли чтобы подключённые к этому порту устройства не могли (блокировали) открытие .ехе файлов…?а желательно чтобы вообще пользователи не могли открывать .ехе ….. просто именно таким образом я и раздабыл пасс….при помощи портабл приложений…
___________________________________
Пока всё…буду очень признателен если ответите хоть на один вопрос внятно…ибо не такие уж и простые вопросы.
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 00:14:58.396666
|
|
|
IguMEN
Сообщений: 4
Оценки: 0
Присоединился: 2006-07-04 15:58:03
|
1) Перекарячь сетку так, чтобы все выходили в Инет через какой-нить шлюз. На шлюзе и будешь отсекать запретные адреса.
2) Для своих пользователей (я тоже админ в солидной компании) я сейчас заканчиваю шелл, заменяющий эксплорер и "слегка" настраивающий реестр. В результате у юзеров есть только ярлыки (довольно симпотные) на разрешенные мною файлы. Свои документы они хранят на сетевом диске Z. Остальные диски скрыты. В общем, руководство в восторге, юзеры в ужасе))
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 00:29:29.776666
|
|
|
Xakep9009
Сообщений: 1067
Оценки: 0
Присоединился: 2006-08-28 02:34:39
|
Хы=_)))
1) Перекарячь сетку так, чтобы все выходили в Инет через какой-нить шлюз. На шлюзе и будешь отсекать запретные адреса.
(нее это надо бы автоматизировать …мне надо определённый сайт забанить…а если я еще буду и следить
кто куда заходит …я АПстену сразу…)
2) Для своих пользователей (я тоже админ в солидной компании) я сейчас заканчиваю шелл, заменяющий эксплорер и "слегка" настраивающий реестр. В результате у юзеров есть только ярлыки (довольно симпотные) на разрешенные мною файлы. Свои документы они хранят на сетевом диске Z. Остальные диски скрыты. В общем, руководство в восторге, юзеры в ужасе))
(Может быть откроете тайну…..названия этого шелаа.. я только один юзал….RUNSHELL и то …галимо его настроил и можно было по дирр лазять через ОСЛА…!)
Юзай нормальные комментарии [куоте]коммент[/куоте], или наставлю предупреждений, а топик затру!
//Саймон
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 01:54:46.996666
|
|
|
Denisska05
Сообщений: 661
Оценки: 0
Присоединился: 2007-06-26 20:21:10.883333
|
По поводу первого вопроса, это самый простой и вообще стандартный вариант… да и куда уж прощще?? ни за кем следить не надо, просто блокируешь лишние сайты и все… Сомневаюсь что этот вопрос без прокси на шлюзе вообще еще какимто способом решить возможно.
по поводу экзешников хз.. может просто в реестре заблокировать все приложения кроме разрешенных ?? но этот фокус не прокатит если пользователь догадается переименовать экзешник.
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 11:12:45.176666
|
|
|
6puCCeH
Сообщений: 51
Оценки: 0
Присоединился: 2007-07-17 08:59:11.726666
|
1. WinGate (прокси сервер для совместного доступа в инет) заюзай. Там банлист есть.
2. Sanctuary Application Control
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 12:52:00.323333
|
|
|
АнтонММФ
Сообщений: 1364
Оценки: 0
Присоединился: 2007-06-11 08:58:50.760000
|
quote:
ORIGINAL: Xakep9009
в салидную компанию за то что я у них вскрыл систему(сидел под админом)
Нихренасе!!! А я бы под админом никогда бы не сумел сделать какие-нить плохие веши! :D:D:D
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 14:55:47.916666
|
|
|
Xakep9009
Сообщений: 1067
Оценки: 0
Присоединился: 2006-08-28 02:34:39
|
1)WinGate
Отличная тулза….заюзал….но она триал( а это не есть хорошо ибо платные тулзы компания не приветствует….кряк найти не проблемма но это уже пиратство … а так я поступаю только на своем компе….а на работе Х_))) будет не законно.
2)Sanctuary Application Control
Тоже платная тулза….и вообще не нашол Триал…..только описание
______________________
Или может кто то из админов ставит крякнутые проги?
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 16:17:10.106666
|
|
|
Gri3li
Сообщений: 104
Оценки: 0
Присоединился: 2007-01-14 01:09:34.463333
|
quote:
Сомневаюсь что этот вопрос без прокси на шлюзе вообще еще какимто способом решить возможно.
Можно стандартными средствами:
"Сервис" > "Свойства обозревателя" > Вкладка "Содержание" > ограничения доступа "Включить…" Вкладка "Разрешенные узлы"
Впечатываешь адрес запрещенного ресурса и жмакаешь на кнопку "Никогда"
Еще можно в настройках фаервола запретить, ну тут от фаервола все зависит
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 16:53:42.230000
|
|
|
Xakep9009
Сообщений: 1067
Оценки: 0
Присоединился: 2006-08-28 02:34:39
|
quote:
ORIGINAL: Gri3li
quote:
Сомневаюсь что этот вопрос без прокси на шлюзе вообще еще какимто способом решить возможно.
Можно стандартными средствами:
"Сервис" > "Свойства обозревателя" > Вкладка "Содержание" > ограничения доступа "Включить…" Вкладка "Разрешенные узлы"
Впечатываешь адрес запрещенного ресурса и жмакаешь на кнопку "Никогда"
Еще можно в настройках фаервола запретить, ну тут от фаервола все зависит
Спасибо Грииизз ты как обычно помог мне)))итак первый вопрос снят самым простым и не затратным способом….
что касается второго вопроса я нашол …. http://www.devicelock.com привлекательная штучка однако….но пока она на стадии тэстирования (мной) =)) и я еще не узнал …. платная она или нет….так что вопрос в силе….
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-30 18:08:55.556666
|
|
|
Jasmin
Сообщений: 2320
Оценки: 0
Присоединился: 2007-05-03 23:08:53.390000
|
Будет линукс на шлюзе - сделай так:
acl badbrowser browser MSIE
http_access deny badbrowser
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-31 07:57:17.103333
|
|
|
ADiel
Сообщений: 106
Оценки: 0
Присоединился: 2008-01-14 21:03:27.756666
|
ставь UserGate. В нем можно автоматически отфильтровывать сайты, банеры и одноклассники)))
если надо версию 2.8 могу дать с крякой
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-03-31 10:33:59.260000
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
Во! Я же говорил! Я же говори-и-ил! На Винде слова "прокси-сервер" и "UserGate" си-но-ни-мы! А версия 2.8 дак ваще капец!!!
Кхм… Простите, погорячился.
Теперь по поводу платности. Компания, в которой работает бородатым админом уважаемый топикстартер, наверняка не захочет, чтоб в офис вламывались злые дядьки в масках и ставили всех ра…эээ.. в позу "оленя, пьющего из ручья")))) Поэтому вариант с крякнутым UG не канает. ИМХО.
Прога DeviceLock - это рулез. Но она таки платная. Можно вместо нее поковыряться в групповых политиках.
Для фильтрации инета - даже и под виндой пост Jasmin рулит. Поскольку классика жанра - squid - прекрасно существует и под винду. И, что особено приятно, система управления учетными записями пользователей aka SAMS - Squid Account Management System - сделана пермскими мастерами. Земляки практичьски. Вот по этому поводу я щас с разрешения модераторов пропиарю сайт www.permlug.org)))
К сожалению, squid не проксит SOCKS, если оно вам надо - придется что-то еще заюзать. Или вариант "все-в-одном" - под названием 3proxy. Вне зависимости от того, наберете вы в адресной строке Оперы "3proxy" или "g 3proxy" - все равно попадете на его хоумпагу))
Кстати, если кто-то кроме меня тут этого зверя использует, использовал или собирается - дайте знать))
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-01 09:03:42.050000
|
|
|
geverlife
Сообщений: 17
Оценки: 0
Присоединился: 2007-11-11 02:45:28.593333
|
Что тут думать ставим линуху потом подымаем Squid и все (Практично и бесплатно)
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-01 09:50:02.473333
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
quote:
ORIGINAL: geverlife
Что тут думать ставим линуху потом подымаем Squid и все (Практично и бесплатно)
Да какая разница, чем инет раздавать. Бесплатного всякого много. По Squid'у в сети руководств дофигища. прикрутить к нему много чего можно, если понадобится проксить еще и SOCKS - разыскиваем в репе и ставим Dante.
Может, к главному перейдем - к организации собственно сети во что-то приличное?
В случае с виндой - строим Active-таки-Directory. Но для этого нужна легальная Win2K3… или хороший адвокат)))
В случае с никсом… ну OpenLDAP*.
*Можно пригласить специалистов Novell, чтоб они подняли eDirectory и обслуживали ее. Но у руководства возникнет законный вопрос: а зачем тогда нам ставка админа?
Да, и это… не вздумайте что-то трогать в бухгалтерии! Помните: нервные клетки не восстанавливаются!:D
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-01 10:26:32.486666
|
|
|
LynXzp
Сообщений: 307
Оценки: 0
Присоединился: 2007-01-12 23:20:28.196666
|
На счет запрещения сайта. У меня были адмны в локалке.. они запрещали доступ на сайт..
Выход в нет был без прокси, но естественно через шлюз ибо все под НАТом.
При входе на тот сайт все попадали на редирект на зеркало на котором было написано "Вы забанены" - ну и никто и не сомневался что это они нас забанили.. (или почти никто:))
Использование traffic copressora - иногда решало этот вопрос и удавалось зайти, но только кадый 10 раз - жмешь 10 раз обновить и о-чудо!
Пробило использование TOR-а.
Прокси не катило.
Думаю стоит задуматся наж этим вариантом - т.к. пользователи не будут думать что это сделал ты, или засомневаются…
Но как это делали.. хз Меня сильно и не интересовало..
//После этой истории и еще одной я от них из-за злости то и ушел.
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-01 11:00:41.250000
|
|
|
DN3aNHeP
Сообщений: 403
Оценки: 0
Присоединился: 2008-03-24 12:03:01.216666
|
Хмм… Не знаю, не знаю. Вообще-то мне больше нравится стиль UG. Где есть внутренний сайт, на котором пользовик может посмотреть свою статистику, разрешения; валяются в Сети переделки стандартного UG-шного сайта под нечто более универсальное, с внутренними новостями, чатом и всей байдой*. Дак че, переделать-то можно, да и к любой другой проксе должны существовать такие прикрутки. Желательно в момент запуска этой прокси ейный сайт всем установить домашней страницей. И дописать в него развернутую справку. Потом-то пусть меняют, главное - будут в курсе, где посмотреть, сколько метров осталось скачать.
При попытке доступа на запрещенный ресурс - именно такая надпись и пояляется, с объяснением, что, мол, ресурс был отфильтрован, если Вы считаете, что это ошибка - пишите администратору. Дальнейшее - вне зависимости от желания пользователя, ИМХО, следует рассмотреть вопрос с блокировкой/разблокировкой запрошенного ресурса (ложные срабатывания возможны всегда) и поставить в известность начальство. Для острастки. Все свои действия позиционировать как прямое неукоснительное выполнение воли фюре… вышестоящего руководства.
Ну и это… Зверствовать сильно не надо, наглухо вырубать "Одноклассников" и "ВКонтакте", знакомства и все такое. Людям ведь тоже расслабиться надо, а то крыша съедет. Просто установить определенные часы доступа к этим сайтам: с утра там, ближе к обеду, в конце рабочего дня… После превышения траффика оставить почту (но указать максимальный размер файла, ну или там допустимые типы вложений). А аська в ряде контор вообще служит средством корпоративного общения. Вишь, жабу-то свою собственную поднимать влом, дак вот и общаются дир с замом через далекие американские сервера)))
*Вот что значит невнимательность! Взял я сейчас образец переделанного внутреннего сайтика UG, запустил у себя и посмотрел. Примитивизм ужасный. Голимый HTML+CSS, а больше нифига и нету. Новости там и в самом деле "предусмотрены", но изменение их осуществляется в данном случае через прямую правку кода страницы[X(]. - 04/04/2008, 13:36, DN3aNHeP (аффтар)
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-04 07:38:28.750000
|
|
|
Adminas
Сообщений: 96
Оценки: 0
Присоединился: 2007-08-08 14:31:41.016666
|
quote:
"Сервис" > "Свойства обозревателя" > Вкладка "Содержание" > ограничения доступа "Включить…" Вкладка "Разрешенные узлы"
Впечатываешь адрес запрещенного ресурса и жмакаешь на кнопку "Никогда"
А если сетка из 20 компов, это нужно на каждом сделать или достаточно на шлюзе?
Traffic Inspector юзал кто нибудь? Как там сайты запрещать можно?
|
|
|
|
|
RE: -=Помощь свеже испечёному админу=- - 2008-04-04 15:28:42.963333
|
|
|
Persona non grata
Сообщений: 1164
Оценки: 0
Присоединился: 2008-03-25 00:29:28.436666
|
quote:
ORIGINAL: Adminas
А если сетка из 20 компов, это нужно на каждом сделать или достаточно на шлюзе?
В данном описании - на каждом. Но лучше всего сделать это на шлюзе.
quote:
ORIGINAL: Adminas
Traffic Inspector юзал кто нибудь? Как там сайты запрещать можно?
Читайте f.a.q. по данному приложению, прежде, чем задавать вопросы. Как правило, такая операция как запрещение доступа к определённым сайтам не представляет из себя ничего сложного в настройке.
|
|
|
|
|
|
