Active Directory

Mike22

Местный
Клиентскую часть массово сдвинуть с венды в обозримом будущем почти невозможно, а на серверной стороне работы в этом направлении ведутся.
Клиентам наплевать, какая у них ОС на машине, работал-бы софт который им нужен.
 

Touareg

to kalon epieikes
Клиентам наплевать, какая у них ОС на машине, работал-бы софт который им нужен.
Современные десктопные операционные системы еще не достигли такой степени прозрачности, чтобы быть совершенно незаметными, они постоянно влияют на работу пользователя контекстно и смена этого контекста даже при условии сохранения привычного набора прикладного софта вызывает дискомфорт, а у склонных к истерике и панику. :rolleyes:
 

Cosinus

Новичок
Клиентам наплевать, какая у них ОС на машине, работал-бы софт который им нужен.
уже оффтоп пошел...

но раз уж пошел так вот проблема в том что ка краз этот то софт и не работает :rolleyes:

да и даже банальная переустановка офиса с 2003 на 2007 вызывает груду соплей и криков - а переобучение это дорогого стоит (
 

biz

Местный
Или даже спрошу по другому, как сделать так, чтобы при физически работоспособном сетевом соединении при локальном логоне все сетевые ресурсы были недоступны, а при доменном логоне доступны?
тут главное уяснить разницу в процессе аутентикации в случае доменного узера и локального ...
подсказка 1:
зайдите админом на файловую помойку и запустите вьюера событий безопасности
зацепите щару этого сервера доменным узером, гляньте в событиях по какому протоколу это произошло
тоже самое при подключении к шаре через локального с вводом пароля
думаете
заходите в групповые политики безопасности в надежде найти нужную галочку

подсказка 2:
на сервере с шарами создать локального узера с таким же именем, как у локального узера компутера, но с другим паролем
пробовать зацепить шару локальным узером компутера
 

biz

Местный
Это промышленное решение, совет по этой теме стоит денег. У нас в городе я лично знаю пару человек, которые решат все ваши вопросы по AD за 5 минут.
Но это не будет бесплатным.
дык назови плиз этих гуру ... вдруг пригодится ...


Вопрос к администраторам сетей которые "супер-технологии" применяют (например AD) - у вас, вообще, есть понимание, что такое ААА ?
Вы осознаёте и понимаете чем отличаются процессы и смысл аутентификации, авторизации и аккаунтинга ???
Это ж три совершенно разных задачи, которые бывает очень сложно увязать (из-за специфики конкретных условий, собственно в этом и есть сложность настройки таких систем).
есть понимание
угу ... и я даже догадываюсь что это за системы и почему для тя эт больная тема :rolleyes:

Клиентам наплевать, какая у них ОС на машине, работал-бы софт который им нужен.
это безответственное заявление а-ля ЛОР


Современные десктопные операционные системы еще не достигли такой степени прозрачности, чтобы быть совершенно незаметными, они постоянно влияют на работу пользователя контекстно и смена этого контекста даже при условии сохранения привычного набора прикладного софта вызывает дискомфорт, а у склонных к истерике и панику. ;)
а вот это ответственное заявление ;)
 

Mike22

Местный
Моё ворчание немного о другом было - про применение сложных инструментов без знания и понимания основ.
Можно виртуозно топором владеть, но для того чтобы построить (срубить) дом, этого мало.
 

biz

Местный
Курю статью Примеры использования технологии IPSec, много думаю. В разделе Примеры изоляции серверов и домена подробно и с картинками рассмотрено решение интересующего меня вопроса. :angry:
решений задачи может быть множество ... я лично бы не стал ориентироваться на ipsec ...
ноте: что будет если враг пропишет легальный разрешённый по ипсеку ip ? да и мак предварительно подменит ...
---
запретите в домене ntlm и живите щасливо ... по сути ntlm нужен тока для pre-w2000 осей и для межлесовых отношений доменов _до_ в2003 ... разве тока ещё софт прикладной есть недоразвитый ... ну типа самбы не через керберос :unsure:
 

zzz

инвалид умственного труда
Курю статью Примеры использования технологии IPSec, много думаю. В разделе Примеры изоляции серверов и домена подробно и с картинками рассмотрено решение интересующего меня вопроса. :unsure:
от сноса и переустановки системы пользователем это не спасет. спасти, наверное, может только отключение локального администратора и запрет на загрузку с внешних носителей (с опечатыванием корпуса). и доменным узерам давать права максимум паверузера, что бы они не говорили.
Вопрос к администраторам сетей которые "супер-технологии" применяют (например AD) - у вас, вообще, есть понимание, что такое ААА ?
Вы осознаёте и понимаете чем отличаются процессы и смысл аутентификации, авторизации и аккаунтинга ???
мы тут вроде как говорим не о конфигурировании цисок, не о едиректори или еще какой службе каталогов, а о чистаконкретных вопросах использования чистаконкретной ад. если хочется обсудить какая директорисервис рулез, а какая - сакс, то в принципе можно создать отдельную ветку и обсуждать там эти важные вопросы.
 

biz

Местный
от сноса и переустановки системы пользователем это не спасет. спасти, наверное, может только отключение локального администратора и запрет на загрузку с внешних носителей (с опечатыванием корпуса)
... а также отказ от дхцп и проверка сетевух на фичу смены мака в ейных биосах ...
а луче вообще один здоровый машзал и снаружи в стенах торчащие мониторы с трэкболовыми клавиатурами а-ля банкомат :unsure:


Моё ворчание немного о другом было - про применение сложных инструментов без знания и понимания основ.
Можно виртуозно топором владеть, но для того чтобы построить (срубить) дом, этого мало.
чтобы понимать сложность нуно уже владеть основами :angry:
а для строительства дома и топором мона не владеть искусно ... прогуляйся по садам-то местным ... что-то похожее на дом по-любому получается. в этом и есть стиль m$ - коробочное решение универсального применения в меру квалификации. поставил, нажал пару кнопок и получи тупой начальный функционал. нужно более ? ну тада поищи в оглавлении ширпотребовской книшки и нажми пару кнопок ... ну и т.д.
 

zzz

инвалид умственного труда
а луче вообще один здоровый машзал и снаружи в стенах торчащие мониторы с трэкболовыми клавиатурами а-ля банкомат
вотименно. так и сделано у нас самзнаешьгде. только там побарабану дхцп или статикайпи, больно уж клиенты тонкие.
 

Mike22

Местный
По-уму, систему разграничения прав нужно сначала спроектировать и только потом реализовывать с помощью тех или иных инструментов.
Но в большинстве случаев почему-то всё наоборот - хвост виляет собакой.
 

biz

Местный
Спасибо, буду тестировать. :angry:
Это я так понимаю здесь, да?
примерно тут :)
тестируйте осторожнее ... выделите в отдельный ou файлопомойку и назначьте гп тока на этот ou ...
а то мало ли чо у вас там вылезет побочно :unsure:
 

Touareg

to kalon epieikes
примерно тут ;)
тестируйте осторожнее ... выделите в отдельный ou файлопомойку и назначьте гп тока на этот ou ...
а то мало ли чо у вас там вылезет побочно ;)
Это само собой. :lol:

Кстати всем любителям экспериментов с групповыми политиками рекомендую скачать с сайта микрософт и установить остнастку gpmc.msc - консоль управления групповыми политиками, которая странным образом не входит в состав дистрибутива 2003, а вещь удобная и полезная, интегрируется в aduc, умеет генерить наглядные отчеты, а также бэкапить групповые политики и соответственно восстанавливать. Фраза для поиска - gpmc.msi.
 

Cosinus

Новичок
Это само собой. ;)

Кстати всем любителям экспериментов с групповыми политиками рекомендую скачать с сайта микрософт и установить остнастку gpmc.msc - консоль управления групповыми политиками, которая странным образом не входит в состав дистрибутива 2003, а вещь удобная и полезная, интегрируется в aduc, умеет генерить наглядные отчеты, а также бэкапить групповые политики и соответственно восстанавливать. Фраза для поиска - gpmc.msi.
хм... в 2003 как и вовсех gpedit.msc Оо - ее нет тока в ХР хом эдишн
 

Touareg

to kalon epieikes
хм... в 2003 как и вовсех gpedit.msc Оо - ее нет тока в ХР хом эдишн
Ну да, это редактор групповых политик, а gpmc - менеджмент консоль, если нажать в ней правой кнопочкой на интересующей политике и выбрать пункт edit вызовется gpedit.msc).
 

amk

Новичок
По-уму, систему разграничения прав нужно сначала спроектировать и только потом реализовывать с помощью тех или иных инструментов.
Но в большинстве случаев почему-то всё наоборот - хвост виляет собакой.

Проектируй - не проектируй, а если к консоли пользователь допущен, то он
може сделать всё что угодно - и LIVE CD запустить, ...

ToBIZ - полностью согласен насчёт только монитора и клавиатуры.

А вообще-то - это чисто административные меры: нарушил - получи по полной программе.

PS: Например после введения новых штрафов -
водители стали гораздо реже при красном свете светофора перекрёсток проезжать.
А если бы расстреливали на месте - тогда бы никто правил вообще бы не нарушал :)
 
Сверху