Консультации Портала - Консультация #167064

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 167064

12.05.2009, 14:43

0.00 руб.

0 6 0

Компьютеры Программное обеспечение Защита информации

Добрый день !
Что есть : есть локальная сеть и по ней все рабочие компьютеры входят в домен с помощью учтеных записей доменных пользователей(опытных пользователей). В сети есть ресурсы , которые расшарены для всех и(или) для конкретных доменных пользователей отдельно. Пользователи могут сами расшаривать папки и назначать им права доступа и т.п. ( понтяно что администратор домена также имеет доступ к настройкам этих ресурсов).
Ставиться задача : создать папку и назначить ей доступ, однако этим доступом должен управлять только пользователь (не доменный, т.е. администратор домена не должен иметь доступ к настрокам безопасности данного ресурса) ПК . Результат должен быть примерно такой если кто-то заходит по сети на этот расшаренный ресурс - должно появиться окно с запросом логина и пароля ( естественно этот логин и пароль должны соответсвовать локальному пользователя АДМИНИСТРАТОР).
Как я это делал : в натроках папки на вкладке Доступ - я оставил группу ВСЕ для доступа к этой папке. далее во вкладке БЕЗОПАСНОСТЬ я удалил всех доменных пользователей,добавил локального пользователя. РЕЗУЛЬТАТ - при попытке открыть по сети эту папку с другого ПК выдается сообщение У ВАС НЕТ ПРАВ ДОСТУПА ДЛЯ ОТКРЫТИЯ РЕСУРСА итп.

ВОПРОС : Что надо сделать чтобы заработал алгоритм, описанный выше (при открытии расшаренной сетевой папки - должно появиться окно с запросом логина и пароля,который назначает не доменных (локальны) пользователь или администратор ) ???

Приложение:
Windows server 2003 - сервер
Windows XP Pro - клиентские

Обсуждение

Неизвестный

12.05.2009, 20:52

общий

есть локальная сеть и по ней все рабочие компьютеры входят в домен

При вводе компьютера в домен
-его политики перекрываются политиками домена
-локальные Администраторы утрачивают свое главенствующее значение и подчинены Администратору домена
-Администратор домена волен и вправе менять не только пароли пользователей (сервера, домена, ПК домена), но и локальных Администраторов
Как Вы не изголяйтесь, ничто не помешает ему переназначить права и безопасность любой папки, относящейся к домену и стать ее владельцем. Это напоминает ситуацию "бунт на корабле"

Только после обнаружения такого Вы быстренько лишитесь Админских прав и будете долго "под колпаком".
Позвольте напомнить, что

этим доступом должен управлять только пользователь (не доменный, т.е. администратор домена не должен иметь доступ к настрокам безопасности данного ресурса) ПК

абсурдно и этот пользователь уже по определению САМ ПОДЧИНЕН Администратору домена.

Неизвестный

13.05.2009, 22:13

общий

спасибо, исчерпывающий ответ. Тогда если не сложно , предложите вариант с всплывающим окном по запросу логина и пароля на расшаренный ресурс для доменных пользователей (с привелегиями не выше опытных пользователей)!

Неизвестный

13.05.2009, 22:23

общий

Конкретизируйте. К примеру: папка А - расшаренный ресурс. (чего?). К ней должны иметь доступ только Х и У. Больше - никто (?) (кроме Администратора домена, разумеется).

Неизвестный

14.05.2009, 14:41

общий

Расшаренный ресурс (папка) с ПК (за которым я сижу и под доменной учтеной записью пользователя).К ней должны иметь доступ только Х и У(другие доменные пользователи). Больше - никто ! (кроме Администратора домена, разумеется). При этом при каждом обращении к этому ресурсу должно появляться окно с запросом логина и пароля.

Неизвестный

15.05.2009, 09:49

общий

Вопрос вполне решаем, вот только без помощи Админа домена или без его прав это проделать не удастся. Поясняю:

Цитата: Ruslik

Пользователи могут сами расшаривать папки и назначать им права доступа и т.п.

Это все понятно, если они с правами локальных Админов. Но вот для ограничения по доступу для доменных пользователей нужен будет доступ к перечислению доменных пользователей, куда кроме Админа домена доступ (естественно) никто не имеет.
Вы расшариваете папку, но на вкладке "Доступ" (у Вас - ХР Pro) "Все" удаляете, а добавляете (вот для чего нужны права Админа домена!) через "Обзор" доменных пользователей, кому этот доступ хотите дать. Права (полный, только чтение и пр.) определяете сами.
Преходим на вкладку "Безопасность" и там добавляете снова тех, кому прописали доступ в предыдущем пункте. Подчеркну, что "Все" не трогаете, оставляете как есть.
Всё. Теперь Х и У спокойно заходят и открывают Вашу папку, а любому другому будет "ласково сказано", что он "ошибся адресом" и "сюда нельзя".
Даже не надо никакого ввода пароля, система сама фильтрует разрешения. Чем, как мне кажется, только выигрывает, потому как зачем делать лишнее?
А без прав Администратора домена Вы можете делать подобное только для собственных пользователей (к примеру - при рабочей группе, когда у вас есть пользователи группы в локальных пользователях)

Неизвестный

21.05.2009, 16:59

общий

Спасибо.

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.