Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Windows [игнор отключен] [закрыт для гостей] / Защита от доменных админов / 21 сообщений из 21, страница 1 из 1
01.06.2004, 13:02
    #32542621
Anonimus
Anonimus
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Как сделать что бы админы домена не смогли забратся на мой комп
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:06
    #32542630
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Выкинуть из локальных админов.


eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:08
    #32542633
Anonimus
Anonimus
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
это не поможет. Уже делал
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:10
    #32542641
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
В смысле "не поможет"???
Еще как помогает!



eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:10
    #32542642
Bigheadman
Bigheadman
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Если компьютер включен в домен, то, если не ошибаюсь, это невозможно. На то он и домен, чтобы было централизованное управление ресурсами.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:20
    #32542670
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
А вот и нет.
Выкидываешь админа домена из локальных админов - и все. Если не стоит каких-нить спецпрог или скрипта в авторане - то ничего доменный админ сделать не сможет.
И вот еще что: пароль локального админа сменить не забудь.



eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:23
    #32542678
Anonimus
Anonimus
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
авторили скрипта в авторане - то ничего доменный админ сделать не сможет.

А если стоит скрипт на подключение?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:25
    #32542688
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
А вот тут shift очень даже помогает.



eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:45
    #32542744
Anonimus
Anonimus
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
в смысле? Нажать при загрузки и доменная политика не применится?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 13:57
    #32542780
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Скрипт не выполнится.
А лучше напиши прогу, которая будет сидеть в авторане и грохать в реестре нужные ветки.


eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 14:27
    #32542880
Stacs
Stacs
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Добрый день!!! :)
Ан нет eNose, все получится!!! Недавно сам проверял - обратился парнишки знакомый: он устроился на новое место работы и над ним издевался админ Так вот - сам попробовал добиться такого же эффекта-получилась следующая цепочка: Сеть-Папка-Комп-Управление-Службы-Запускаем Телнет и издеваемся Если есть траблы с правами, то меняем доступ в Уравляющий элемент WMI.
Как выход, вполитике безопасности прописывается то ли локальный вход, то ли доступ из сети к компу - точно не помню.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 14:40
    #32542920
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
А зачем поднимать телнет на рабочем компе???
И вообще, выруби все лишние службы.

И в юзверях обязательно убери "ДОМЕН\ВСЕ".


ЗЫ: а ты уверен, что не стоит никаких прог левых?

eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 14:50
    #32542937
Stacs
Stacs
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
eNose:
Я не создатель топика Я просто постарался опровергнуть твой вывод - а пример приведен как один из вариантов доступа админа локалки к компу без расшаренных ресурсов (что довольно легко, кстати, исправить с его правами ) и т.п. вещей.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 15:45
    #32543058
paparome
paparome
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Если AD, то админ может настроит GPO на добавление группы Domain Admins в группу локальных Админов
Перебить GPO нельзя

А зайти на машину можно и по скрытой (админской) шаре
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 17:01
    #32543241
Stacs
Stacs
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Как мне однажды сказал один главный инженер банка:"Админ домена в сети связки 2000-2000Сервер имеет ПОЛНЫЕ права и сможет зайти на любой хост" И тут, на мой взгляд, выступают на передний план знания этих самых админа и пользователя И если пользовательь знает больше, значит админа пора менять....

Вечная борьба противоположностей
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
01.06.2004, 18:30
    #32543461
_Sania
_Sania
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
GPO в AD применяется при входе и с определенным интервалам (кажется по умолчанию 2 часа), естественно все что там прописано отработается - не зависимо от того есть ли в локальных админах админ домена или нет. Единственный выход, прогонять после применения GPO скрипт, который будет эту самую GPO вычищать, т.е. выкидывать всех лишних из локальных админов удалять лишние ветки в реестре и т.д.

Админ домена в любой момент может вручную применить GPO.
Есть всякие настройки в локальной Win, типа не применять GPO, а в AD применять GPO не зависимо от локальных настроек и т.д., в итоге самая последняя настройка все таки применяте GPO, так что я их даже не привожу.

В чем смысл конфликта?
Админ домена всегда может лишить пользователя прав локального админа.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
02.06.2004, 08:47
    #32543911
Anonimus
Anonimus
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Ну ребята подскажите чего делать то ну не люьблю я когда по моей машине кто то шарится
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
02.06.2004, 09:28
    #32543970
eNose
eNose
Участник
[не активирован]
[не одобрен]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
Почитал я про GPO.
Есть таки способ :-)

0) gpedit.msc - очень внимательно и аккуратно настроить :-)
1) Вырубить службу "Удаленное управление реестром".
2) Вырубить службу "Сервер".

Правда, тогда вообще никто не сможет по сети подключиться.



eNose
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
02.06.2004, 11:01
    #32544242
Oleg_Martynov
Oleg_Martynov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
На самом деле, если админ нормальный - никак.
Пример: сейчас я работаю не под админом - мой аккаунт для обычных работ. Решил проверить, все ли дырки я заткнул. Попытка выполнить gpedit.msc как и положено заканчивается "У вас нет разрешения на выполнения этой операции".
Если контора большая - в чём проблема? У админа, если он не маньяк страдающий вуайеризмом, достаточно другой работы. А доступ к станциям ему иногда нужен - иначе он не сможет управлять работой сети.
Удачи!
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
02.06.2004, 16:07
    #32545056
Кока
Кока
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
После просмотру данного топика, задумался, да и запретил все пользователям запускать консоль управления,да и другую дребедень, пусть теперь поубирают админов домена из локальных админов.
Что бы не получилось аля: Stacs И если пользователь знает больше, значит админа пора менять....

Спасибо за топик.

...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
02.06.2004, 16:15
    #32545076
paparome
paparome
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Защита от доменных админов
2 Кока

Нефиг пользователям делать в группе локальных админов - тогда и проблем будет меньше :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Windows [игнор отключен] [закрыт для гостей] / Защита от доменных админов / 21 сообщений из 21, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]