Про любопытных и борьбу с ними

[Berdnik]

Есть проблемка. По топикам полазил, честно, но ответа на свой вопрос не нашел.
Меня интересует, возможно ли в природе АД закрыть доступ к папке, например, для компьютера?
По логике думал так: есть группа, членам которой закрыт доступ к ресурсу. Добавляем в группу компьютер и оп-ля, с этого компьютера (любому, даже админу) доступ тоже будет закрыт. Однако это не так. Жизнь сурова... Не хочу обсуждать ньюансы с доступом по паролям. Человек залогинившись в домен не имеет доступа, но подключившись в сеть с учеткой локального пользователя своей машины зная пароль (обсуждать не буду, заставить пользователей работать с безопасными паролями дело неблагодарное) юзера с доступом, может подключиться к ресурсу.
На дополнительных настройках безопасности тоже поигрался - не помогло. В книжках умных про учетные записи компьютеров и как с ними можно изгаляться пишут скромно, в основном создать, удалить, отключить. Остается звонок другу и помощь зрительного зала

 

[DastyEKS-2]

Ну это действительно дело неблагодарное... Какова проблема - перекрыть доступ к фану или рабочей папке? Если фан, то неблюдущий пароли ды будет послан... Если рабочие данные - то хужее. Но можно попробовать с другой стороны - есть такия феня Single logon feature. Суть в том, что один юзер в конкретный момент времени может быть только на одном компею .может это выход? Типа давши

 

[DastyEKS-2]

й свой пароль и пострадает.....

 

[Veda]

1. Верно ли я понимаю суть дела - нужно полностью закрыть доступ определённому компу (всем пользователям с этой машины) к ресурасам другого компа?
2. Реализовать это нужно исключительно на AD или другие средства тоже подойдут, если они эффективны?

 

[okun]

Человек залогинившись в домен не имеет доступа, но подключившись в сеть с учеткой локального пользователя своей машины зная пароль юзера с доступом, может подключиться к ресурсу.

Если разрешенным юзерам в настройках учетной записи в АД перечислить только разрешенные компьютеры для входа в домен Вкладка "Учетная запись" (Account)->Кнопка "Вход на" (Log on To), то эти юзеры смогут получить доступ к сетевым ресурсам только с разрешенных компьютеров и соответственно только на них работать локально в домене.

 

[Berdnik]

Нужно закрыть доступ для ресурсов (хотелось бы и С$ и пр.) именно для компа. Чтоб на комп, например COMP1, невозможно было бы получить доступ любому пользователю с машины COMP2. И пусть они уж подбирают пароли или хоть на голове стоят (физически заходить в домен с другого компа им проблематично - далековато идти сидят себе в сторонке и балуются), но со своей машины на ту куда им не надо ходить не войдут.

Я например пробовал на себе: Есть шара в сети, для моей учетной записи полный доступ, но попробую добавить в список безопасности свой компьютер и запретить все ваще. Теперь, думаю, я смогу входить в эту сетевую папку залогинившись с любой машины кроме своей. Однако не сработало - доступ есть. Пробовал наследовать - балалайка.

А решение такое пришло из практики. Одни умники эксперементировали что-то и доэксперементировались, что к ним на комп невозможно подключиться вообще. Но не всем а только двум (может было и больше, но жаловались только двое, всех проверить не смог). Логинится человек в домен. Все везде для него как всегда, а на этот комп не может войти. В сетевом окружении не открывается. Пишет: доступ для вашего компьютера запрещен или с вашего компьютера невозможно подключиться, обратитесь к админу (дословно не помню уже, но смысл такой). И такая бадяга именно для машины, с другой он логинится и работает нормально. Лечил долго. Причину так и не нашел, но выкрутился.

 

[Zevs]

Может косяк был связан с разным уровнем безопастности (подписывание, шифрование) соединений. Типа на одном - требовать шифрование, на втором - только обычное, на остальных - "определяется сервером". Больше ничего на ум не приходит.

 

[petr_lv]

О как. А можно вопрос - а почему локальные пользователи компьютера, а не домена имеют доступ к сетевым ресурсам??????
В принципе ставить файловую систему NTFS, сносить на нужной папке наследование и ставить только тех, кто должен иметь доступ
А к локальным пользователям компьютеров разговор особый - Гостя блокировать, админа переименовать и присвоить ему зубодробильный пароль.

 

[Key132]

А решение такое пришло из практики. Одни умники эксперементировали что-то и доэксперементировались, что к ним на комп невозможно подключиться вообще. Но не всем а только двум (может было и больше, но жаловались только двое, всех проверить не смог). Логинится человек в домен. Все везде для него как всегда, а на этот комп не может войти. В сетевом окружении не открывается. Пишет: доступ для вашего компьютера запрещен или с вашего компьютера невозможно подключиться, обратитесь к админу (дословно не помню уже, но смысл такой). И такая бадяга именно для машины, с другой он логинится и работает нормально. Лечил долго. Причину так и не нашел, но выкрутился.

Машина на которой баловались не под ХР случайно ???
и какие IP адреса у машин ??? в одной подсети ???
может все гороздо проще - включеный файервол ???