IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Операционные системы M$ (http://www.imho.ws/forumdisplay.php?f=2)
-   -   Групповые (group) и локальные (local) политики (policy) операционных систем Windows (http://www.imho.ws/showthread.php?t=73588)

Nymph 24.08.2002 20:02

Групповые (group) и локальные (local) политики (policy) операционных систем Windows
 
Задаём вопросы, делимся опытом.
__________________________________________________________
Неск-ко вопросов по Локальным Политикам Безопасности в ХР
1) Назначение прав пользователя-> Отказ в доступе к компьютеру из Сети-> стоит "SUPPORT_338945a0"
Это что за зверь такой?
2) Параметры безопасности->Сетевой доступ: Разрешать анонимный доступ к именнованным каналам:
COMNAP
COMNODE
SQL\QUERY
SPOOLSS
LLSRPC
EPMAPPER
LOCATOR
Что за каналы и нужно ли этот ан.доступ разрешать вообще к чему либо?
3) ~->Сетевой доступ: Разрешать анонимный доступ к общим ресурсам:
COMCFG
DFS$
Что значит $? Где-то слышал что он делает ресурс расшаренным но как бы скрыто....:( Разве так можно?
4) Напомните плз, как сделать чтоб определённый профиль грузился по умолчанию...

Заранее сэнкс всем ответившим!

Dead Man 24.08.2002 21:28

1. У тебя просто нает прав заходить на удалённый комп.
2. Иначе ничего работать не будет.
3. $ это административный доступ, да действительно можно
4. Не совсем понял твой вопрос ???

Nymph 24.08.2002 21:40

4) Надо чтоб при загрузке он пропускал экран с выбором пользователей и загружал сразу заданный профиль...
Раньше я так делал а счас убей не помню куда лезтть надо...
2) Т.е. это служебные сервисы и кто тггда ими анонимно пользуется?

Dead Man 24.08.2002 23:05

Поставь TweakUI for Windows XP, там есть та фитча, да и много других.

MoHaX 14.01.2003 04:25

Политики для юзерей в win2000 Server
 
Суть проблемы: политику которая была по дефулту я оствили, создал новую и для определённой группы юзерей сделал на неё чтение и выпонение, но вообщем-то нифига она на них не действуюет :баран: В чём мой косяк? :idontnow:

Dead Man 14.01.2003 06:26

Ты какую из политик обрабатывал, локальную или для домейна ?

Jim7 16.01.2003 13:44

А какие у тебя клиенты?

MoHaX 17.01.2003 13:14

Dead Man

Цитата:

Ты какую из политик обрабатывал, локальную или для домейна ?
Вроде глобальльную, та которая в Администрирование\AD - пользователи и компютеры, там правой кнопкой на домен, свойства и закладка Политики и чё-то там (не помню точно как называется)


Jim7
Цитата:

А какие у тебя клиенты?
Win2000 Pro

Ghost 17.01.2003 19:27

Если папки профилей пользователей не удаляются, то политики не вступит в силу. Снеси их (папки).

В редакторе политик нужно указать политики какой группы более важны, т.е. указать последовательность их применения. Посмотри и это.

Лучше все же было настроить политику Default для юзверей и создать отдельную для админов, а не наоборот.

MoHaX 18.01.2003 05:01

Ghost
Цитата:

Если папки профилей пользователей не удаляются, то политики не вступит в силу. Снеси их (папки).
Ты имеешь ввиду папки юзверей в "Documents and Settings" на клиентах?

Ghost 23.10.2003 10:23

Периодически отваливаются Group Policy на Win2k3
 
Подскажите как решить такую проблему:

Стоит Windows Server 2003. На DNS-сервере (не моем - вышестоящем) эта машина прописана как srv.bla-bla-bla.ru. Имя машины ставлю srv.bla-bla-bla.ru, NETBios-имя: SRV. Потом ставлю AD и создаю домен srv.bla-bla-bla.ru. NETBios-имя, естесственно, ставится отличным от имени машины, например, DOM. Во время установки AD был установлен и автоматически настроен локальный DNS-сервер. Больше на сервере ничего не стоит. Какое-то время все работает нормально, но через 20-30 минут групповая политика отваливается напрочь, и достучаться до нее никак нельзя, не перезагрузив машину. При этом в журнал записывается вот такая вот хрень:
Код:

Тип события:          Ошибка
Источник события: Userenv
Время:                    8:52:51
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:            SRV
Описание:
Не удалось выполнить привязку к домену srv.bla-bla-bla.ru.
(Локальная ошибка). Обработка групповой политики прекращена.

Тип события:          Ошибка
Источник события:  Userenv
Время:                      8:52:51
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:            SRV
Описание:
Не удалось запросить данный список объектов групповой политики.
Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.


Dead Man 23.10.2003 18:02

Ghost
Смени клей ;) (шутка).

Ты забыл указать НОМЕР ошибки ID: ?

Ghost 30.10.2003 16:24

А без ошибки слабо?

Кстати на Win2k Srv пратически такая же ошибка - код 1000. Текст приводить не буду, скажу лишь, что речь идет о том, что
Цитата:

Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.
Не удалось установить подключение к srv.bla-bla-bla.ru (1787).

Dead Man 30.10.2003 16:46

Ghost
Слабо разобратся самому ?

Ghost 31.10.2003 08:37

Dead Man
Спасибо за ссылку. Будем разбираться.

Dead Man 31.10.2003 17:05

Удачи.

P.S. ID + Source так будет легче искать.

EnigMan 01.03.2004 10:27

Политика учетных записей WinXP в домашних условиях
 
На домашнем компе под XP работает несколькой пользователей, у каждого своя учетная запись. Имеет ли смысл ограничивать эти учетные записи до уровня ПОЛЬЗОВАТЕЛИ (все равно каждый знает пароль к Администратору), то есть поможет ли это хоть какой-то защите от вредных программулек, при том что винт форматнут на FAT32

AMDman 01.03.2004 12:31

EnigMan
Цитата:

все равно каждый знает пароль к Администратору
Если так то вряд ли в таком ограничении есть смысл...разве только от каких нибудь случайных ошибок удержит...:biggrin:

maxximik 01.03.2004 14:42

а смысл??? и мой совет NTFS а не FAT :)
Цитата:

EnigMan:
поможет ли это хоть какой-то защите от вредных программулек,
- нет если под админом заходят :(

Shanker 02.03.2004 10:01

EnigMan
Цитата:

На домашнем компе под XP работает несколькой пользователей, у каждого своя учетная запись. Имеет ли смысл ограничивать эти учетные записи до уровня ПОЛЬЗОВАТЕЛИ (все равно каждый знает пароль к Администратору), то есть поможет ли это хоть какой-то защите от вредных программулек, при том что винт форматнут на FAT32
Нет: не имеет и смысла с такой настройкой нет!!!

NoxWell 02.03.2004 10:09

полюбому пришлось бы в NTFS форматировать...

Dead Man 02.03.2004 17:24

EnigMan
Нет смысла из за FAT32.
Но можеш конвертнуть в NTFS.

Converts FAT volumes to NTFS.

CONVERT volume /FS:NTFS [/V]

volume Specifies the drive letter (followed by a colon),
mount point, or volume name.
/FS:NTFS Specifies that the volume to be converted to NTFS.
/V Specifies that Convert should be run in verbose mode.

T-ViRus 05.08.2004 11:17

Странные записи в "Локальная политика безопасности"
 
Ось - winXP, недавно зашел в локальную политику безопасности ---> локальные политики ---> назначение прав пользователя и обнаружил в ключах "вход в качестве пакетного задания", "отказ в доступе компьютеру из сети" и "отклонить локальный вход" вот такой параметр:
*S-1-5-21-854245398-507921405-1343024091-1002...
поискал в реестре - такая запись не обнаружена
что это может быть???
я на всякий случай пока убрал эту запись из "вход в качестве пакетного задания"
какие будут предположения???

Breeze 05.08.2004 14:08

Да пусть стоит, я так думаю, эти назначенные права пользователя и есть твои права при работе с системой. У меня циферки немного другие, но если всё работает - пусть себе работает.

T-ViRus 05.08.2004 15:36

я боюсь как бы это не оказалось какой нить дырой в безопасности системы, через которую будут выкачивать инфу с моего компа

pro 05.08.2004 16:09

T-ViRus
Удаляй смело! Не знаю будет ли польза от этого, но вреда не бдет.
В общем это старые юзвери, которых уже нет... допустим был пользователь user3 - ему запретили локальный вход... так и было прописано в политике безопасности... а потом этого юзера удалили совсем - и вместо него остается эта лажа...

Breeze 07.08.2004 09:55

По поводу сабжа… Интересная получается картинка: залез я в безопасность некоторых папок и увидел, что иным из них присвоены особые разрешения под именем тех циферок, о которых было сказано выше. Как правило, в Свойствах папки на вкладке Безопасность есть следующие Группы и пользователи:
1.SYSTEM
2. Администраторы(такой-то)
3. Пользователи (такой-то)
4. пользователь (конкретный)
5. Создатель-Владелец
6. Все и т.д.
но в некоторых папках и подпапках вместо п.4 стоят эти непонятные цифры.
Может кто-нибудь объяснить мне, чайнику, что сие значит. Компьютер домашний, локалки нет. 3 подключения к Интернету.
Может, тут бродит кто-нибудь, как у себя дома, а я ни слухом ни духом. Или Backdoors?
User-ов3 не было никогда. :)

P.S. Перечитал и понял, что это бред – не зря дядя Билл это сделал, в смысле безопасности, но, с другой стороны, на fat подобного не было. Пошёл читать мануал.
Но может кто-то из ГУРУ объяснит это популярно?..

intangible 10.08.2004 19:02

Да не переживай ты так :biggrin:

это не вирь. Скорее всего у тебе стоят/стояли несколько Windows систем. С помощью такого ключа система и определяет юзера. Для каждого он генерируется свой, и хотя в обоих системах имена пользователей могут быть одинаковыми, но их *s-идентификаторы будут разными. Потому и видит одна из систем не:
"4. пользователь (конкретный)", а *S-1-5-21-854....

на съемных дисках с нтфс таких юзверей может быть несколько.

Breeze 10.08.2004 22:29

Спасибо, успокоил!
Я, вобще-то, думал, что это из-за того, что у меня заблокированы Удалённый помощник (или как-там - забыл) и Гость.

y3k 11.08.2004 02:16

Seduxen, польхователи, адмнистраторы вообщем то что ты перечеслял - это нормально, винда их ставит всегда, переустанови винду и они опять будут

Breeze 11.08.2004 15:32

Просьба дурацких советов не давать - WinXP (нынешний вариант) стоит уже больше 1,5 года.

intangible 11.08.2004 20:14

Цитата:

Сообщение от Seduxen
Спасибо, успокоил!
Я, вобще-то, думал, что это из-за того, что у меня заблокированы Удалённый помощник (или как-там - забыл) и Гость.

в этом случае система определяет блокированых юзеров.
а вообще-то названые тобою юзверы принадлежат к соответствующим им группам, и система устанавливает права доступа к файлам для групп, если только не в ручную сделать иначе.

Interceptor 12.08.2004 03:14

Seduxen

Как и сказал intangible, это идентификаторы юзеров. Каждый раз устанавливая винду он генерится новый.
Такая запись в разрешениях разделов\дисков появляется, когда ID юзера для прав на раздел установлен, а логин его в системе найти не удаётся (например, после переустановки винды или удалении юзера из системы)

Breeze 13.08.2004 19:56

Спасибо, усё понял; да, были там "пользователи" - повыгнал :)

AndreEj 28.09.2004 19:09

Политики безопасности В2К (без домена)
 
Как получить доступ к "локальным политикам безопасности" по сети?
То есть под админскими правами входим и меняем нужные политики.
Для чего я думаю объяснять не надо.

ЗЫ: Домен ставить не буду !!!
Ставить на все машины Радмины и етс не хочется.
Но с удовольствием принимаются варианты типа:
Заходим в управление компьютером --- подключаемя к нужной машине в службах включаем Телнет --- конектимся телнетом и ...
а вот дальше что?

Ghost 29.09.2004 15:17

AndreEj
Каждая отдельно взятая политика безопасности фактически представляет собой один или несколько ключей реестра. Найти файлы с расширением adm, поковыряйся в них (они имеют достаточно читабельный формат), создай reg-файл с нужными политиками и импортируй его на нужную машину с помощью службы удаленного реестра.
Кроме того, есть такая программка - poledit.exe, которая занималась настройках в NT4-сиситемах. В ней есть возможность подключения к другому компу.
И наконец, можно воспользоваться стандартной консолью win2k: Пуск - Выполнить - mmc.exe - Добавить/удалить оснастку - Добавить оснастки групповой политики для нужных машин - Сохранить в нужном месте (чтобы потом не повторять все действия).

AndreEj 29.09.2004 16:58

по ммс незя :) недаст :)
поэтому и спрашиваю

_Mylo_ 29.09.2004 17:57

А почему это не даст по mmc? У меня всё настраивается - только нужен логин/пароль админской учётки удалённого компа. Да но это в домене
:rolleyes:

А что нужно настраивать? многое делается через реестр, сетевые настроикй можно менять при помощи netsh

Ghost 29.09.2004 18:12

AndreEj
Цитата:

по ммс незя :) недаст :)
поэтому и спрашиваю
Можно. Без домена. Поэтому и говорю.

AndreEj 01.10.2004 11:39

Можно через реестр С помощью DameWare но частично
Ветка Security при этом недоступна
В ММС незя или я как то это неправильно делаю
Более подробно можно сказать?


Часовой пояс GMT +4, время: 03:20.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.