|
|
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Есть сервер работающий под windows server 2003 R2. Он включен в домен. Нужно настроить север так, чтобы ни один доменный пользователь, включая доменных админов не мог зайти на него. Доступ должны иметь только локальные пользователи. Хотелось бы сохранить терминальный доступ для локальных пользователей (хотя это не обязательно). Эта настройка должна быть внутри севера - не доступная доменным админам. Я пробовал менять политику севера, но выяснил, что доменная политика безопасности имеет приоритет над локальной. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 10:22 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25, Удали администраторов домена из группы локальных администраторов на этом сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 10:47 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Есть сервер работающий под windows server 2003 R2. Он включен в домен. Нужно настроить север так, чтобы ни один доменный пользователь, включая доменных админов не мог зайти на него. Доступ должны иметь только локальные пользователи. Хотелось бы сохранить терминальный доступ для локальных пользователей (хотя это не обязательно). Эта настройка должна быть внутри севера - не доступная доменным админам. Я пробовал менять политику севера, но выяснил, что доменная политика безопасности имеет приоритет над локальной. Удалите сервер из домена и будет вам счастье... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 13:23 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
kofeinikrebel25, Удали администраторов домена из группы локальных администраторов на этом сервере. Через групповые политики домена можно обратно включить доменные группы в группы сервера. Это может сделать доменый админ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 15:05 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Sergey Orlovrebel25Есть сервер работающий под windows server 2003 R2. Он включен в домен. Нужно настроить север так, чтобы ни один доменный пользователь, включая доменных админов не мог зайти на него. Доступ должны иметь только локальные пользователи. Хотелось бы сохранить терминальный доступ для локальных пользователей (хотя это не обязательно). Эта настройка должна быть внутри севера - не доступная доменным админам. Я пробовал менять политику севера, но выяснил, что доменная политика безопасности имеет приоритет над локальной. Удалите сервер из домена и будет вам счастье... Вообще сервер не в домене. На нем крутится sql 2005. Задача состоить в том, чтобы переключиться в сиквеле с сиквельной аутентификации на виндоусовую. Для этого и включаю сервер в домен. Но на сервере хранится секретная информация, которую не должны видеть и доменные админы. Может можно както перейти на нужную аутентификацию не включая сервер в домен? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 15:08 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Вам надо запереть сервер в сейф или уволить доменных админов. Домен обязателен - это и есть виндоус аутентификация. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 15:12 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Sergey Orlovrebel25Есть сервер работающий под windows server 2003 R2. Он включен в домен. Нужно настроить север так, чтобы ни один доменный пользователь, включая доменных админов не мог зайти на него. Доступ должны иметь только локальные пользователи. Хотелось бы сохранить терминальный доступ для локальных пользователей (хотя это не обязательно). Эта настройка должна быть внутри севера - не доступная доменным админам. Я пробовал менять политику севера, но выяснил, что доменная политика безопасности имеет приоритет над локальной. Удалите сервер из домена и будет вам счастье... Вообще сервер не в домене. На нем крутится sql 2005. Задача состоить в том, чтобы переключиться в сиквеле с сиквельной аутентификации на виндоусовую. Для этого и включаю сервер в домен. Но на сервере хранится секретная информация, которую не должны видеть и доменные админы. Может можно както перейти на нужную аутентификацию не включая сервер в домен? Выводите данную машину из домена, ставите на нее виртуалку, какую хотите, в ней w2k3, который вводите в домен... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 15:32 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskyВам надо запереть сервер в сейф или уволить доменных админов. Домен обязателен - это и есть виндоус аутентификация. Хорошо, я запираю сервер в сейф А как быть с подключением через сторонние программы, например DameWare? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 15:46 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Никак, поскольку это уже опасно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 16:13 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovВыводите данную машину из домена, ставите на нее виртуалку, какую хотите, в ней w2k3, который вводите в домен... А что меняется кроме физического сервера vs виртуального, ему же надо быть в домене и одновременно не в домене. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.04.2010, 16:14 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Поступило предложение написать скрипт, который раз в 5 сек будет выкидывать доменных админов из групп локального сервера... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2010, 09:32 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Поскольку проблема в доступе к конф. информации - то, ПМСМ, её и нужно решать, и не на одной машине, а в общем (ну например, доменные админы - наверняка админы на станциях где конфиденц создаётся). Можно попробовать встроенным способом - развернуть сервер сертификатов, назначить офицера безопасности шифрования (в виндовс - это тот, кто может расшифровать чужие файлы), выкинуть из офицеров админов если были, настроить извещения об изменении политик (и выдаче сертификатов? - но это надо подумать). Ну и бэкапить регулярно, данные и сертификаты. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2010, 10:31 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskySergey OrlovВыводите данную машину из домена, ставите на нее виртуалку, какую хотите, в ней w2k3, который вводите в домен... А что меняется кроме физического сервера vs виртуального, ему же надо быть в домене и одновременно не в домене. Если я правильно понял, ему надо иметь SQL-сервер в домене, ну так пусть в виртуалке он и поставит w2k3 в качестве гостя... доступ к вирталке будут иметь все, а сама виртуалка к физическому доступа иметь не будет... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2010, 10:36 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Поступило предложение написать скрипт, который раз в 5 сек будет выкидывать доменных админов из групп локального сервера... Это не спасет, вопрос в другом, какие данные ты хочешь защитить от домена, дело в том, что сервис SQL в твоем случае большая потенциальная дыра, если он в домена и стоит доменная аутенфикация, то администраторы домена имеют права DBA со всеми вытекающими следствиями, от создания заданий, процедур, других вещей в базе, которые будут выполнены в окружении учетной записи самого SQL-сервера... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2010, 10:48 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Поступило предложение написать скрипт, который раз в 5 сек будет выкидывать доменных админов из групп локального сервера... Апять борьба с ветряными мельницами. 1. Доменный администратор - есть лицо доверенное. 2. От доменного/локального администратора защиты в домене/локально нет. Только разве зарыть голову в песок. 3. Если очень надо защиты от доменного/локального администратора - см. п.2. PS. Ну нахер мне, доменному администратору ломиться в закрытую дверь, если форточка всегда открыта? Я ведь, могу и программульку на клиентском компутере запустить и посмотреть ввод пароля для сервера SQL. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.04.2010, 10:58 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Похоже от доменного админа действительно ничего не скрыть в его домене) А как такой вариант. Я делаю сервер контроллером домена, в который входит только он сам и устанавливаю доверительные отношения с доменом, логины которого я буду использовать в SQL. Вот только не знаю, увидит ли SQL логины доверенного домена... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.04.2010, 13:46 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Похоже от доменного админа действительно ничего не скрыть в его домене) в автозагрузке ссылку на net share C$ /delete ... net share ADMIN$ /delete Остановить(disabled) сервисы "Remote Desktop Help Session Manager" "Remote Registry" и еще возможно какие(отследить/испытать) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.05.2010, 21:43 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Памасrebel25Похоже от доменного админа действительно ничего не скрыть в его домене) в автозагрузке ссылку на net share C$ /delete ... net share ADMIN$ /delete Остановить(disabled) сервисы "Remote Desktop Help Session Manager" "Remote Registry" и еще возможно какие(отследить/испытать) Не спасет... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 09:27 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Спасет, так плавненько подводим к увольнению и проблема будет решена. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 09:45 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Памасrebel25Похоже от доменного админа действительно ничего не скрыть в его домене) в автозагрузке ссылку на net share C$ /delete ... net share ADMIN$ /delete Остановить(disabled) сервисы "Remote Desktop Help Session Manager" "Remote Registry" и еще возможно какие(отследить/испытать) тада уж проще шнурок сетевой выдернуть, если кэширование хэшей не отключено ... те же групповые политики _сам компутер_ покорно тянет и устанавливает, а не админ их туда пихает ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 22:40 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Anatoly PodgoretskyСпасет, так плавненько подводим к увольнению и проблема будет решена. блин, как у вас всё просто ... и вундеркинды по улицам толпами ... одного викинул, другого тут же взял ... сначала васпитывать пробовать нуно молодых и дерзких :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 22:43 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
Нафиг, нафиг. Но вообще то к увольнению подвожу не я. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 22:52 |
|
||
|
Исключение доменных пользователей
|
|||
|---|---|---|---|
|
#18+
rebel25Нужно настроить север так, чтобы ни один доменный пользователь, включая доменных админов не мог зайти на него. Доступ должны иметь только локальные пользователи. Хотелось бы сохранить терминальный доступ для локальных пользователей (хотя это не обязательно). Эта настройка должна быть внутри севера - не доступная доменным админам. rebel25 на сервере хранится секретная информация, которую не должны видеть и доменные админы. я свою проблему похожую на проблему rebel25, решил как описал выше. а все из-за редирект %USERPROFILE% и других папок пользователя на сетевое/общее хранилище - что-то типа activesync и "копания" в чужих мусорках со стороны любопытных а то, что, "Anatoly Podgoretsky" и "Biz©" спорят, НИЧЕГО не понял, кто, кого, чего!? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2010, 23:52 |
|
||
|
|
start [/forum/topic.php?fid=26&fpage=201&tid=1499918]: |
0ms |
get settings: |
10ms |
get forum list: |
16ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
49ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
67ms |
get tp. blocked users: |
2ms |
| others: | 233ms |
| total: | 395ms |
| 0 / 0 |
