Групповые (group) и локальные (local) политики (policy) операционных систем Windows
Задаём вопросы, делимся опытом.
__________________________________________________________ Неск-ко вопросов по Локальным Политикам Безопасности в ХР 1) Назначение прав пользователя-> Отказ в доступе к компьютеру из Сети-> стоит "SUPPORT_338945a0" Это что за зверь такой? 2) Параметры безопасности->Сетевой доступ: Разрешать анонимный доступ к именнованным каналам: COMNAP COMNODE SQL\QUERY SPOOLSS LLSRPC EPMAPPER LOCATOR Что за каналы и нужно ли этот ан.доступ разрешать вообще к чему либо? 3) ~->Сетевой доступ: Разрешать анонимный доступ к общим ресурсам: COMCFG DFS$ Что значит $? Где-то слышал что он делает ресурс расшаренным но как бы скрыто....:( Разве так можно? 4) Напомните плз, как сделать чтоб определённый профиль грузился по умолчанию... Заранее сэнкс всем ответившим! |
1. У тебя просто нает прав заходить на удалённый комп.
2. Иначе ничего работать не будет. 3. $ это административный доступ, да действительно можно 4. Не совсем понял твой вопрос ??? |
4) Надо чтоб при загрузке он пропускал экран с выбором пользователей и загружал сразу заданный профиль...
Раньше я так делал а счас убей не помню куда лезтть надо... 2) Т.е. это служебные сервисы и кто тггда ими анонимно пользуется? |
Поставь TweakUI for Windows XP, там есть та фитча, да и много других.
|
Политики для юзерей в win2000 Server
Суть проблемы: политику которая была по дефулту я оствили, создал новую и для определённой группы юзерей сделал на неё чтение и выпонение, но вообщем-то нифига она на них не действуюет :баран: В чём мой косяк? :idontnow:
|
Ты какую из политик обрабатывал, локальную или для домейна ?
|
А какие у тебя клиенты?
|
Dead Man
Цитата:
Jim7 Цитата:
|
Если папки профилей пользователей не удаляются, то политики не вступит в силу. Снеси их (папки).
В редакторе политик нужно указать политики какой группы более важны, т.е. указать последовательность их применения. Посмотри и это. Лучше все же было настроить политику Default для юзверей и создать отдельную для админов, а не наоборот. |
Ghost
Цитата:
|
Периодически отваливаются Group Policy на Win2k3
Подскажите как решить такую проблему:
Стоит Windows Server 2003. На DNS-сервере (не моем - вышестоящем) эта машина прописана как srv.bla-bla-bla.ru. Имя машины ставлю srv.bla-bla-bla.ru, NETBios-имя: SRV. Потом ставлю AD и создаю домен srv.bla-bla-bla.ru. NETBios-имя, естесственно, ставится отличным от имени машины, например, DOM. Во время установки AD был установлен и автоматически настроен локальный DNS-сервер. Больше на сервере ничего не стоит. Какое-то время все работает нормально, но через 20-30 минут групповая политика отваливается напрочь, и достучаться до нее никак нельзя, не перезагрузив машину. При этом в журнал записывается вот такая вот хрень: Код:
Тип события: Ошибка |
Ghost
Смени клей ;) (шутка). Ты забыл указать НОМЕР ошибки ID: ? |
А без ошибки слабо?
Кстати на Win2k Srv пратически такая же ошибка - код 1000. Текст приводить не буду, скажу лишь, что речь идет о том, что Цитата:
|
|
Dead Man
Спасибо за ссылку. Будем разбираться. |
Удачи.
P.S. ID + Source так будет легче искать. |
Политика учетных записей WinXP в домашних условиях
На домашнем компе под XP работает несколькой пользователей, у каждого своя учетная запись. Имеет ли смысл ограничивать эти учетные записи до уровня ПОЛЬЗОВАТЕЛИ (все равно каждый знает пароль к Администратору), то есть поможет ли это хоть какой-то защите от вредных программулек, при том что винт форматнут на FAT32
|
EnigMan
Цитата:
|
а смысл??? и мой совет NTFS а не FAT :)
Цитата:
|
EnigMan
Цитата:
|
полюбому пришлось бы в NTFS форматировать...
|
EnigMan
Нет смысла из за FAT32. Но можеш конвертнуть в NTFS. Converts FAT volumes to NTFS. CONVERT volume /FS:NTFS [/V] volume Specifies the drive letter (followed by a colon), mount point, or volume name. /FS:NTFS Specifies that the volume to be converted to NTFS. /V Specifies that Convert should be run in verbose mode. |
Странные записи в "Локальная политика безопасности"
Ось - winXP, недавно зашел в локальную политику безопасности ---> локальные политики ---> назначение прав пользователя и обнаружил в ключах "вход в качестве пакетного задания", "отказ в доступе компьютеру из сети" и "отклонить локальный вход" вот такой параметр:
*S-1-5-21-854245398-507921405-1343024091-1002... поискал в реестре - такая запись не обнаружена что это может быть??? я на всякий случай пока убрал эту запись из "вход в качестве пакетного задания" какие будут предположения??? |
Да пусть стоит, я так думаю, эти назначенные права пользователя и есть твои права при работе с системой. У меня циферки немного другие, но если всё работает - пусть себе работает.
|
я боюсь как бы это не оказалось какой нить дырой в безопасности системы, через которую будут выкачивать инфу с моего компа
|
T-ViRus
Удаляй смело! Не знаю будет ли польза от этого, но вреда не бдет. В общем это старые юзвери, которых уже нет... допустим был пользователь user3 - ему запретили локальный вход... так и было прописано в политике безопасности... а потом этого юзера удалили совсем - и вместо него остается эта лажа... |
По поводу сабжа… Интересная получается картинка: залез я в безопасность некоторых папок и увидел, что иным из них присвоены особые разрешения под именем тех циферок, о которых было сказано выше. Как правило, в Свойствах папки на вкладке Безопасность есть следующие Группы и пользователи:
1.SYSTEM 2. Администраторы(такой-то) 3. Пользователи (такой-то) 4. пользователь (конкретный) 5. Создатель-Владелец 6. Все и т.д. но в некоторых папках и подпапках вместо п.4 стоят эти непонятные цифры. Может кто-нибудь объяснить мне, чайнику, что сие значит. Компьютер домашний, локалки нет. 3 подключения к Интернету. Может, тут бродит кто-нибудь, как у себя дома, а я ни слухом ни духом. Или Backdoors? User-ов3 не было никогда. :) P.S. Перечитал и понял, что это бред – не зря дядя Билл это сделал, в смысле безопасности, но, с другой стороны, на fat подобного не было. Пошёл читать мануал. Но может кто-то из ГУРУ объяснит это популярно?.. |
Да не переживай ты так :biggrin:
это не вирь. Скорее всего у тебе стоят/стояли несколько Windows систем. С помощью такого ключа система и определяет юзера. Для каждого он генерируется свой, и хотя в обоих системах имена пользователей могут быть одинаковыми, но их *s-идентификаторы будут разными. Потому и видит одна из систем не: "4. пользователь (конкретный)", а *S-1-5-21-854.... на съемных дисках с нтфс таких юзверей может быть несколько. |
Спасибо, успокоил!
Я, вобще-то, думал, что это из-за того, что у меня заблокированы Удалённый помощник (или как-там - забыл) и Гость. |
Seduxen, польхователи, адмнистраторы вообщем то что ты перечеслял - это нормально, винда их ставит всегда, переустанови винду и они опять будут
|
Просьба дурацких советов не давать - WinXP (нынешний вариант) стоит уже больше 1,5 года.
|
Цитата:
а вообще-то названые тобою юзверы принадлежат к соответствующим им группам, и система устанавливает права доступа к файлам для групп, если только не в ручную сделать иначе. |
Seduxen
Как и сказал intangible, это идентификаторы юзеров. Каждый раз устанавливая винду он генерится новый. Такая запись в разрешениях разделов\дисков появляется, когда ID юзера для прав на раздел установлен, а логин его в системе найти не удаётся (например, после переустановки винды или удалении юзера из системы) |
Спасибо, усё понял; да, были там "пользователи" - повыгнал :)
|
Политики безопасности В2К (без домена)
Как получить доступ к "локальным политикам безопасности" по сети?
То есть под админскими правами входим и меняем нужные политики. Для чего я думаю объяснять не надо. ЗЫ: Домен ставить не буду !!! Ставить на все машины Радмины и етс не хочется. Но с удовольствием принимаются варианты типа: Заходим в управление компьютером --- подключаемя к нужной машине в службах включаем Телнет --- конектимся телнетом и ... а вот дальше что? |
AndreEj
Каждая отдельно взятая политика безопасности фактически представляет собой один или несколько ключей реестра. Найти файлы с расширением adm, поковыряйся в них (они имеют достаточно читабельный формат), создай reg-файл с нужными политиками и импортируй его на нужную машину с помощью службы удаленного реестра. Кроме того, есть такая программка - poledit.exe, которая занималась настройках в NT4-сиситемах. В ней есть возможность подключения к другому компу. И наконец, можно воспользоваться стандартной консолью win2k: Пуск - Выполнить - mmc.exe - Добавить/удалить оснастку - Добавить оснастки групповой политики для нужных машин - Сохранить в нужном месте (чтобы потом не повторять все действия). |
по ммс незя :) недаст :)
поэтому и спрашиваю |
А почему это не даст по mmc? У меня всё настраивается - только нужен логин/пароль админской учётки удалённого компа. Да но это в домене
:rolleyes: А что нужно настраивать? многое делается через реестр, сетевые настроикй можно менять при помощи netsh |
AndreEj
Цитата:
|
Можно через реестр С помощью DameWare но частично
Ветка Security при этом недоступна В ММС незя или я как то это неправильно делаю Более подробно можно сказать? |
Часовой пояс GMT +4, время: 03:20. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.