|
Windows -da foydalanuvchi huquqlarini cheklash uchun guruh siyosatidan foydalanish
Menimcha, bu vaziyatda quyidagi retsept ishlashi mumkin: siz ikkita guruh yaratishingiz kerak, ularni PCComission va UserComission deb ataymiz.
Tarkibiga mos ravishda kompyuterlar va komissiya bo'limining foydalanuvchilarini kiriting.
Keyin, guruh siyosati ob'ektini yarating va OU SUS -ga bog'laning, amaldagi siyosatni Auth Users guruhidan olib tashlang va uning o'rniga PCComission guruhiga qo'shing. Shundan so'ng, siyosat xususiyatlarida, guruh a'zoligini cheklash mexanizmidan foydalanib, mahalliy foydalanuvchilar guruhidan Domen foydalanuvchilari domen guruhini chiqarib tashlang, lekin UserComission guruhini qo'shing.
Vadim, men siz xato qilganingizni ko'rsatdim, chunki sizning retsepti ishlamaydi: domen foydalanuvchilarini o'rnatilgan kompyuter foydalanuvchilari guruhidan chiqarib tashlash domen foydalanuvchilarining mahalliy kompyuterga kirishini cheklamaydi. Hammasi shu. Xafa bo'lmang, lekin sizning "menimcha ..." ni retsept sifatida taklif qilishdan oldin tekshirish kerak. AD domenidagi oddiy kompyuterdagi odatiy "Builtin \ Users" a'zoligi holatini eslang / tekshiring, nihoyat imtiyozlar haqida ...
Ha, va yana bir narsa, tajribasiz administratorga hech qanday sababsiz xavfsizlik ma'lumotnomasi modelini o'zgartirishni maslahat bermaslik kerak, o'zingizni mashq qilishingiz shart emas. Birinchidan, bu bilan siz bonuslardan ko'ra ko'proq muammolarga duch kelasiz, ikkinchidan, bu sizni texnik yordamdan mahrum qilishi mumkin!
Vadim, agar qaerda adashganimni tushuntirib bersangiz, men sizga minnatdor bo'laman. :)
Qo'shish: Vadim va siyosat ob'ekti haqida. Xo'sh, UCP SYSVOL -da kamida 10 megabayt va AD konteynerida bir xil miqdorda bo'lsin - shunda nima? Replikatsiya optimallashtirilgan, mijoz UCPni kuniga besh marta qayta yuklamaydi va administrator uni o'zgartirmaydi, chunki hech narsa yo'q - to'g'rimi? Umuman olganda, vinaigrette o'ralganidan ko'ra, ko'proq OCPni yaratish va ko'pincha - bu yagona yo'l.
Xotinim Katya, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V.ga rahmat. mening bilimim uchun! :)
Dmitriy, men bu mavzuni oldingi postlaridan birida tushuntirganman: 2009 yil 21 -avgust, 10:26.
Xo'sh, yana boraylik. Mening taklifim "Cheklangan guruhlar" mexanizmidan foydalanib, savdo bo'limi foydalanuvchilari ularga kira olmasligi uchun komissiya bo'limi kompyuterlarida mahalliy foydalanuvchilar / foydalanuvchilar guruhining tarkibini o'zgartirish g'oyasidan iborat edi. , aynan shu guruhga a'zo bo'lish orqali ular shunday huquqga ega). To'g'ri, men tasodifan bu fikrni shakllantirdim, "Domen foydalanuvchilari domen guruhini mahalliy foydalanuvchilar guruhidan chiqarib tashlamang", "mahalliy foydalanuvchilar guruhini tozalang" deyish to'g'ri edi, lekin u mohiyatini o'zgartirmaydi, chunki siyosat qo'llanilganda, "Cheklangan guruhlar" bo'limida aniq ko'rsatilgan qo'shishdan oldin guruhni tozalaydi. Shunday qilib, bu holda guruhning standart tarkibini eslab qolish shart emas. Bu zarar bermasa ham;) Va men nafaqat imtiyozlarni eslayman, balki ulardan foydalanishni taklif qilaman, ya'ni mahalliy kirishga ruxsat berish.
Agar siz hali ham biror narsani tushunmasangiz, aniq so'rang - men buni aniqroq tushuntirishga harakat qilaman.
Dmitriy, men o'zim ba'zi bonuslarni ko'rishim mumkin. Foydalanuvchilar guruhining o'zgarishi munosabati bilan meni va boshqa tajribasiz ma'murlarni qanday aniq muammolardan ogohlantiryapsiz?
Va menga osmon uchun tushuntiring, bu texnik yordamga qanday ta'sir qilishi mumkin? Va kimniki?
Xo'sh, va siyosat ob'ektining kattaligi haqida. Agar siz 128k kanalining orqasida nazoratchi topa olmagan bo'lsangiz va xaridorlar infratuzilmasini o'rganayotganda, qabr toshlari ob'ektlarining deyarli butun umri davomida takrorlanmagan bo'lsa, mening tashvishimni tushunish siz uchun oson bo'lmaydi;) Bu GPOlar soni 100 dan oshganiga qaramay.
Va sizning "ko'proq UCP yaratish yaxshiroq va ko'pincha - bu yagona yo'l" degan gapingiz, masalan, menga aniq emas.
Men qarama -qarshi nuqtai nazar tarafdoriman: agar muammoni hal qilishning ikkita varianti bo'lsa, guruh yoki GPO tuzib, men birinchisini tanlayman.
Menga vakolat topshirishni amalga oshirish qulayroq. Yuklab olish / kirish jarayonining davomiyligi to'g'ridan -to'g'ri ishlatilgan GPO soniga bog'liq. Ammo, yana, bu ta'm masalasidir.
Umid qilamanki, texnik qism tozalanadi.
Keyin, Dmitriy, munozara etikasi haqida bir necha so'z.
1. Agar siz mening xatoligim haqida o'z fikringizni bildirgan bo'lsangiz, men shu fikrning dalillarini o'sha postda ko'rishni istardim.
2. " Xafa bo'lmang, lekin sizning "menimcha ..." ni retsept sifatida taklif qilishdan oldin tekshirish kerak."Shunday qilib, men dangasa emas edim va yana tekshirib ko'rdim - retsept ishlaydi." Retsept ishlamaydi "deb da'vo qilishdan oldin buni o'zingiz tekshirdingizmi? Shuning uchun men sizning so'zlaringizni sizga qaytaraman: biror narsani qat'iy e'lon qilishdan oldin, yaxshi bo'lardi. bayonotingizni tajriba orqali tekshiring.
3. Menga bergan maslahatingiz uchun rahmat, lekin men sizdan buni so'ramaganman. Men buni istisno qilmasam ham, qachondir men burilaman :)
Vitaliy Shestakov meni boshqa olov uchun kechirsin.
Bugun biz kompyuter xavfsizligi haqida gapirishni davom ettiramiz. Va bu yo'nalishda yana bir qadam - foydalanuvchi.
Operatsiya xonasini o'rnatishda Windows tizimlari foydalanuvchiga administrator huquqlari berilgan. Boshqacha qilib aytganda, u shaxsiy kompyuterda mutlaqo harakat erkinligiga ega. Ammo zararli ham dasturiy ta'minot, kompyuterga kira olgach, xuddi shunday huquqlarga ega. Va bu bizning xavfsizlik tizimimizda allaqachon jiddiy zaiflikdir. Teshiklarni yamoqlash vaqti keldi.
Ushbu maqolada, biz barcha sozlamalarni saqlab, administratordan xavfsizroq hisob qaydnomasiga o'tish algoritmini tahlil qilamiz.
Do'stlaringiz bilan baham: |
