Безопасные разрешения для C$, D$, IPC$...
 

Всегда думал, что C$, D$, IPC$... должны быть разрешены (Permissions)в сетке по умолчанию только админу как минимум данного компа.
Сегодня был шокирован, когда в свойствах этих шар прочитал Все*Полный доступ. Хотя "Все" в моём домене к администраторам никак не относятся (проверил на всякий случай) Действительно на некоторые сетевые C$, D$, IPC$... удаётся попасть из сети под рядовым юзером домена Winnt 4.0. Самое ужасное, что переделать "Permissions" только для Administrator система не даёт. Совсем и навсегда закрывать C$, D$, IPC$ не хочу, т.к. пользуюсь. Наверно кто-то здесь уже хорошо похозяйничал?

Anto
Административные шары открыты для всех юзеров локальной группы "Администраторы". Т.е., если Вася Пупкин в домене является guest, а на локальной тачке входит в группу Админов, он всё равно имеет полный доступ ко всем админ. шарам.
Пермишны для этих шар переделать действительно нельзя, так что насчёт "кто-то похозяйничал" - это вряд ли.

Anto
а почему ты не хочешь закрыть их "совсем и навсегда"? Закрой их, а потом открой нормальные шары и раздай права в соответствии со своими требованиями.

Borland, FantomIL
Ясно (хотя угнетает-таки это словечко "Все" по умолчанию), а возможно ли сначала закрыть их "совсем и навсегда" для всех станций домена и сервера PDC (NT 4.0) с помощью доменной политики ?
Когда-то также слышал (2-ой путь?), что изменения для всех реестров рабочих станции домена можно произвести синхронно...
All,
Посоветуйте, пожалуйста, хорошую программулину, что хорошо рулит политиками безопасности домена.

... своего компа, да. А если комп чужой не совсем так. Этот пример может сработать только если поместить группу "Guests" в состав группы "Администраторы" домена.
Для доступа к админ. шарам сервера (или любого иного компа в сети) все решает то кем является юзер для этого компа - если юзер Nobody со своего компа наберет \\SomeOtherComputer\c$, то он получит доступ к этому ресурсу только если он в этом "SomeOtherComputer" входит в группу Админов и имеет тот-же пароль (или если это домен и "SomeOtherComputer" в домене, то в группу админов домена), причем не важно кем этот Nobody является для локального компа - хоть "Бэкап оператором". В любом другом случае Nobody увидит только окно с предложением ввести подходящее ситуации имя и пароль :)

Terrum
Тогда может ли быть в моём случае , что когда я заходил с "SomeComputer" домена под администратором этого домена на шары "SomeComputer-1", то пароль каким-то образом был сохранён на "SomeComputer" средствами Windows(хотя никаких птичек вроде не ставил)?
{Так как после этого заходя на "SomeComputer" под рядовым DomainUser получаю полный доступ к шарам на "SomeComputer-1", (Хотя убедился c помощью DameWare, что рядовой DomainUser : 1) не админ. домена 2) на "SomeComputer-1" вообще не прописан никем :confused: ) }
Разрешение "Все/Полный доступ" на уровне NTFS для шар -- это у всех так?
Существуют ли в природе русскоязычные утилиты типа GFI LANguard Security Event Log Monitor (S.E.L.M.) для мониторинга журналов безопасности всех станций домена, другие утилиты для оптимизации управления безопасностью домена?

AntoНу так воспользуйся стандартной софтиной poledit - она поставляется вместе с NT4-серверами. С ее помощью настраиваешь политики для пользователей/групп и отдельных компов, сохраняешь под именем ntconfig.pol (точно не помню, но кажется так) в папке %SystemRoot%\system32\Repl\Import\Scripts и все машины домена начинают ее применять. Правда, для применения необходимо перегрузить рабочую станцию или, как минимум, перезагрузить профиль пользователя (т.е. выйти и войти заново).

Anto
ты бы написал что за ОС стоит на "SomeComputer-1", не повредило бы. А вообще твоя проблема очень напоминает ситуацию когда в win9x создать например шару C$, но ты ведь говоришь что у тебя есть закладка NTFS для шары :confused: , или не так?
доп. инфа оттуда :

C$ D$ E$ - Root of each partition. For a Windows NT workstation/W2K/2003/XP Professional computer only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows NT Server/W2K Server computer, members of the Server Operators group can also connect to these shared folders.

Проверь, может у тебя один из этих вариантов проходит. Винда создает эти шары автоматом (если не отменить это), и ты никак не можешь повлиять на пермишины которые при этом выставляются. Поэтому тем более странно как ты мог там увидеть Разрешение "Все/Полный доступ" на уровне NTFS для шар ??

Terrum
"SomeComputers" -- XP SP1 (NTFS) Теперь вот, после неск. дней глухого закрытия шар через реестр ради эксперимента их открыл снова через AutoShare и разрешение на них система действительно перестала показывать, меняется только "Безопасность" (Раньше клянусь стояло разрешение "Все/Полный доступ" и не менялось.) У сервера NT4 картина от "SomeComputers" сейчас отличается тем, что "Безопасность" = "Все/Полный доступ" (Но для "Всех " запрашивается пароль)Эти "Все" я вылечил, надеюсь продержаться :)