Защита от доменных админов / Windows

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Windows [игнор отключен] [закрыт для гостей] / Защита от доменных админов

21 сообщений из 21, страница 1 из 1

Защита от доменных админов

#32542621

Anonimus

Участник

Откуда: Не надо вам туда приезжать- лучше мы к вам

Сообщения: 206

Рейтинг: 0 / 0

Как сделать что бы админы домена не смогли забратся на мой комп

...

Рейтинг:

0 / 0

01.06.2004, 13:02

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542630

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

Выкинуть из локальных админов.

eNose

...

Рейтинг:

0 / 0

01.06.2004, 13:06

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542633

Anonimus

Участник

Откуда: Не надо вам туда приезжать- лучше мы к вам

Сообщения: 206

Рейтинг: 0 / 0

это не поможет. Уже делал

...

Рейтинг:

0 / 0

01.06.2004, 13:08

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542641

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

В смысле "не поможет"???
Еще как помогает!

eNose

...

Рейтинг:

0 / 0

01.06.2004, 13:10

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542642

Bigheadman

Участник

Сообщения: 2 631

Рейтинг: 0 / 0

Если компьютер включен в домен, то, если не ошибаюсь, это невозможно. На то он и домен, чтобы было централизованное управление ресурсами.

...

Рейтинг:

0 / 0

01.06.2004, 13:10

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542670

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

А вот и нет.
Выкидываешь админа домена из локальных админов - и все. Если не стоит каких-нить спецпрог или скрипта в авторане - то ничего доменный админ сделать не сможет.
И вот еще что: пароль локального админа сменить не забудь.

eNose

...

Рейтинг:

0 / 0

01.06.2004, 13:20

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542678

Anonimus

Участник

Откуда: Не надо вам туда приезжать- лучше мы к вам

Сообщения: 206

Рейтинг: 0 / 0

авторили скрипта в авторане - то ничего доменный админ сделать не сможет.

А если стоит скрипт на подключение?

...

Рейтинг:

0 / 0

01.06.2004, 13:23

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542688

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

А вот тут shift очень даже помогает.

eNose

...

Рейтинг:

0 / 0

01.06.2004, 13:25

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542744

Anonimus

Участник

Откуда: Не надо вам туда приезжать- лучше мы к вам

Сообщения: 206

Рейтинг: 0 / 0

в смысле? Нажать при загрузки и доменная политика не применится?

...

Рейтинг:

0 / 0

01.06.2004, 13:45

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542780

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

Скрипт не выполнится.
А лучше напиши прогу, которая будет сидеть в авторане и грохать в реестре нужные ветки.

eNose

...

Рейтинг:

0 / 0

01.06.2004, 13:57

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542880

Stacs

Участник

Откуда: Оренбург

Сообщения: 187

Рейтинг: 0 / 0

Добрый день!!! :)
Ан нет eNose, все получится!!! Недавно сам проверял - обратился парнишки знакомый: он устроился на новое место работы и над ним издевался админ Так вот - сам попробовал добиться такого же эффекта-получилась следующая цепочка: Сеть-Папка-Комп-Управление-Службы-Запускаем Телнет и издеваемся Если есть траблы с правами, то меняем доступ в Уравляющий элемент WMI.
Как выход, вполитике безопасности прописывается то ли локальный вход, то ли доступ из сети к компу - точно не помню.

...

Рейтинг:

0 / 0

01.06.2004, 14:27

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542920

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

А зачем поднимать телнет на рабочем компе???
И вообще, выруби все лишние службы.

И в юзверях обязательно убери "ДОМЕН\ВСЕ".

ЗЫ: а ты уверен, что не стоит никаких прог левых?

eNose

...

Рейтинг:

0 / 0

01.06.2004, 14:40

| Ответить | Цитировать | Написать

Защита от доменных админов

#32542937

Stacs

Участник

Откуда: Оренбург

Сообщения: 187

Рейтинг: 0 / 0

eNose:
Я не создатель топика Я просто постарался опровергнуть твой вывод - а пример приведен как один из вариантов доступа админа локалки к компу без расшаренных ресурсов (что довольно легко, кстати, исправить с его правами ) и т.п. вещей.

...

Рейтинг:

0 / 0

01.06.2004, 14:50

| Ответить | Цитировать | Написать

Защита от доменных админов

#32543058

paparome

Участник

Откуда: Москва

Сообщения: 4 241

Рейтинг: 0 / 0

Если AD, то админ может настроит GPO на добавление группы Domain Admins в группу локальных Админов
Перебить GPO нельзя

А зайти на машину можно и по скрытой (админской) шаре

...

Рейтинг:

0 / 0

01.06.2004, 15:45

| Ответить | Цитировать | Написать

Защита от доменных админов

#32543241

Stacs

Участник

Откуда: Оренбург

Сообщения: 187

Рейтинг: 0 / 0

Как мне однажды сказал один главный инженер банка:"Админ домена в сети связки 2000-2000Сервер имеет ПОЛНЫЕ права и сможет зайти на любой хост" И тут, на мой взгляд, выступают на передний план знания этих самых админа и пользователя И если пользовательь знает больше, значит админа пора менять....

Вечная борьба противоположностей

...

Рейтинг:

0 / 0

01.06.2004, 17:01

| Ответить | Цитировать | Написать

Защита от доменных админов

#32543461

_Sania

Гость

GPO в AD применяется при входе и с определенным интервалам (кажется по умолчанию 2 часа), естественно все что там прописано отработается - не зависимо от того есть ли в локальных админах админ домена или нет. Единственный выход, прогонять после применения GPO скрипт, который будет эту самую GPO вычищать, т.е. выкидывать всех лишних из локальных админов удалять лишние ветки в реестре и т.д.

Админ домена в любой момент может вручную применить GPO.
Есть всякие настройки в локальной Win, типа не применять GPO, а в AD применять GPO не зависимо от локальных настроек и т.д., в итоге самая последняя настройка все таки применяте GPO, так что я их даже не привожу.

В чем смысл конфликта?
Админ домена всегда может лишить пользователя прав локального админа.

...

Рейтинг:

0 / 0

01.06.2004, 18:30

| Ответить | Цитировать | Написать

Защита от доменных админов

#32543911

Anonimus

Участник

Откуда: Не надо вам туда приезжать- лучше мы к вам

Сообщения: 206

Рейтинг: 0 / 0

Ну ребята подскажите чего делать то ну не люьблю я когда по моей машине кто то шарится

...

Рейтинг:

0 / 0

02.06.2004, 08:47

| Ответить | Цитировать | Написать

Защита от доменных админов

#32543970

eNose

Участник
[не активирован]
[не одобрен]

Сообщения: 196 663

Рейтинг: 0 / 0

Почитал я про GPO.
Есть таки способ :-)

0) gpedit.msc - очень внимательно и аккуратно настроить :-)
1) Вырубить службу "Удаленное управление реестром".
2) Вырубить службу "Сервер".

Правда, тогда вообще никто не сможет по сети подключиться.

eNose

...

Рейтинг:

0 / 0

02.06.2004, 09:28

| Ответить | Цитировать | Написать

Защита от доменных админов

#32544242

Oleg_Martynov

Участник

Откуда: Бокситогорск, Лен. обл.

Сообщения: 885

Рейтинг: 0 / 0

На самом деле, если админ нормальный - никак.
Пример: сейчас я работаю не под админом - мой аккаунт для обычных работ. Решил проверить, все ли дырки я заткнул. Попытка выполнить gpedit.msc как и положено заканчивается "У вас нет разрешения на выполнения этой операции".
Если контора большая - в чём проблема? У админа, если он не маньяк страдающий вуайеризмом, достаточно другой работы. А доступ к станциям ему иногда нужен - иначе он не сможет управлять работой сети.
Удачи!

...

Рейтинг:

0 / 0

02.06.2004, 11:01

| Ответить | Цитировать | Написать

Защита от доменных админов

#32545056

Кока

Гость

После просмотру данного топика, задумался, да и запретил все пользователям запускать консоль управления,да и другую дребедень, пусть теперь поубирают админов домена из локальных админов.
Что бы не получилось аля: Stacs И если пользователь знает больше, значит админа пора менять....

Спасибо за топик.

...

Рейтинг:

0 / 0

02.06.2004, 16:07

| Ответить | Цитировать | Написать

Защита от доменных админов

#32545076

paparome

Участник

Откуда: Москва

Сообщения: 4 241

Рейтинг: 0 / 0

2 Кока

Нефиг пользователям делать в группе локальных админов - тогда и проблем будет меньше :)

...

Рейтинг:

0 / 0

02.06.2004, 16:15

| Ответить | Цитировать | Написать

21 сообщений из 21, страница 1 из 1

Форумы / Windows [игнор отключен] [закрыт для гостей] / Защита от доменных админов

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=26&fpage=597&tid=1515759]:	0ms
get settings:	9ms
get forum list:	15ms
check forum access:	4ms
check topic access:	4ms
track hit:	62ms
get topic data:	13ms
get forum data:	2ms
get page messages:	76ms
get tp. blocked users:	2ms
others:	14ms

total:	201ms