Доменная политика (windows xp, локальный админ).
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Доменная политика (windows xp, локальный админ). - 2011-02-15 21:36:30.523333
|
|
|
Zhivoi
Сообщений: 2
Оценки: 0
Присоединился: 2011-02-15 20:09:15.643333
|
Здравствуйте. Есть вот такой вопрос:
Есть комп в домене. Я локально на нем администратор. Доступ физический есть. В домене я юзер и много чего на моем компе же закрыто, ну и ладно, это меня устаривает - если вдруг чтото нужное - релог в локального админа и делаю свои дела.
Групповые политики я "якобы" запретил - удалив все из папки Windows\system32\GroupPolices и поставив эту папку на ридонли для всех. тоже самое с ключами реестра HKLM\software\polices HKCU\software\polices (хотя ходят слухи, что в данном случае запрещаются лишь локальные политики, а доменные остаются)
Но есть такая проблемка - в пользователях имеется пользователь с неким именем и правами администратора. Итог - на компе два администратора - мой локальный и этот. Попытки его удалить из под локального админа приводят лишь к тому, что при релоге он появляется вновь. Могу сменить ему пароль, но думаю что опятьже он автоматом меняется обратно. Меняю ему привилегии на гостя, жму окей, снова захожу в окно - он снова админ.
Собсно вопрос - как убрать/запретить/понизить права/удалить/заблокировать доступ к компу извне (ну что такое, вся админка знает этот пароль и любой из них может зайти и все что угодно сделать с компом удаленно, что допустимо для рабочих мест, там ничего ценного нет, и что ну никак недопустимо к нашему серверу с кучей дорогостоящей документации, важными документами, репозиториями и прочим прочим прочим.)
С начальством вопрос давно решен, просто админка - это другой отдел, который на наши запросы убрать этого пользователя никак не реагирует, и явно на наше самовольство никак не отреагирует.
|
|
|
|
|
RE: Доменная политика (windows xp, локальный админ). - 2011-02-16 00:14:19.880000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
Сугубо ИМХо - доменные политики никак не переплюнуть если вы хотите в домене оставаться. Попробуйте расшифровать его пароль, не?
|
|
|
|
|
RE: Доменная политика (windows xp, локальный админ). - 2011-02-16 09:26:18.650000
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Вывести компьютер из домена. Иначе - никак. Вообще ситуация странная. админка - это другой отдел Чем же они занимаются как не вашими компами?
|
|
|
|
|
RE: Доменная политика (windows xp, локальный админ). - 2011-02-16 19:41:45.886666
|
|
|
Zhivoi
Сообщений: 2
Оценки: 0
Присоединился: 2011-02-15 20:09:15.643333
|
Всем спасибо, вопрос решился двумя путями. Вывели сервер из домена - но оставили в сети. Доступ к нему есть, а политики более не играют никакой роли.
Второй путь - оставили в домене, но удалось отключить учетную запись левого админа через mmc lusrmgr.msc - Account is disabled. (странно что удаление,переименовывание и смена прав не играют роли, через секунду он снова админ, а эта галочка играет - и нет никакх админов)
Какой из этих двух путей выберем - пока не знаю.
А насчет админки - фирма огромная, но посути это ~20 фирм-конкурентов(отделов), работающих под одной крышей. Пришло волевое решение руководства - объединить все это в единую сеть и создать админку. Вы представляете, какой бардак начался, когда из 20 маленьких защищенных локальных сетей сделали одну гигантскую, да еще настолько по-глупому, что отделы начали попросту ворвать друг у друга коммерческие документы (самая крупная кража была на несколько дестяков миллионов рублей). Админы - такиеже люди, которых можно легко подкупить. Пршел к ним седьмой отдел и говорит - так и так, даете нам доступ к отделу 1 на полчаса - даем 200т.р. Админы не долго думая соглашаются. За полчаса седьмой отдел сливает все до чего дотянется, и вуаля, у гендиректора утром на столе 2 отчета о проделнной работе, почти слово в с слово повтоярющие друг друга. Но первый отдел горбатился и два месяца со стендов не вылазил, а седьмой отдел пиво пил и в потолок плевал. В итоге зарплату то получают оба отдела. А бочку на админов катить бесполезно, т.к. глава админки - сын гендиректора - и им вообще пофигу на все.
Бардак да и только. Вот я и защищаю свой отдел. На доменных машинках у нас только всякая ерунда лежит. А репозитории разработки, математика, исследования и прочее - на этом сервере.
|
|
|
|
|
RE: Доменная политика (windows xp, локальный админ). - 2011-02-16 21:57:46.540000
|
|
|
Pupkin-Zade
Сообщений: 9398
Оценки: 1489
Присоединился: 2004-03-10 13:54:16
|
1. В такой ситуации валить надо.
2. Сделайте зашифрованные разделы, файлы - вот вам и самое простое решение проблемы.
|
|
|
|
|
RE: Доменная политика (windows xp, локальный админ). - 2011-02-17 09:33:38.413333
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Zhivoi
Поставить на сервер фаерволл. Доступ по сети разрешить только из компов своего отдела. Тогда из домена можно и не выводить. Ну и шифрование крнечно тоже использовать. TrueCrypt например. Создать шифрованый раздел и на нем все хранить.
|
|
|
|
|
|
