информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100 		За кого нас держат?Где водятся OGRыSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
 Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Бэкдор в xz/liblzma, предназначенный... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я делал, но это немного не то, что тебе надо... 04.04.03 22:33  Число просмотров: 1200
Автор: babay <Andrey Babkin> Статус: Elderman
<"чистая" ссылка>
> я с шаблонами тож возился, но как ты сказал хотелось не
> через %опу
> можт какие мысли еще подкинешь чтобы без %опы??
Мысли вот какие: процедура все равно разовая, т.е. не будешь не ты клиенту принудительно ACL асставлять при логоне на всех разделах, на все объекты ;-)), так вот:
Один раз - всё таки можно при добавлении новой тачки прогнать её через OU "New Machine", на котором в скрипте будет 
secedit /configure /scppath MyTemplate_path /areas FILESTORE /overwrite[/sadpath sadpath] /log MyLog_path /quiet

---
это по вкусу:
/sadpath sadpath is the path to database that Secedit will use to configure the system (with addition of information in scppath if a scppath is specified.) If sadpath is not specified, then a default database is used. The default database is %windir%\security\database\secedit.sdb for administrators or %userprofile%\secedit.sdb for users. If sadpath is a new database, the scppath must be specified.
А потом зарядить его-же (secedit), но с generate.

Или пиши свой софт:
Extending the Group Policy Functionality
It is possible to extend the current functionality of the Group Policy snap-in by creating administrative template files (.adm), or by authoring a Group Policy extension snap-in.
For information on creating Group Policy extension snap-ins, see the Group Policy documentation in the Microsoft Platform SDK at http://msdn.microsoft.com/downloads/sdks/platform/platform.asp.

Но я не стал бы с безопасностью файловой системы возиться через групповые политики. Не говоря о файловой системе у M$ даже при отображении ACL объектов АД глюк на глюке сидит и глюком погоняет :-(:

The ACL editor contains another anomaly: When you use the window in Figure 2 to remove a permission from a user who has Full Control (e.g., clear the Allow check box next to Delete User Objects), the system creates a horde of single-permission entries for the user and displays them in the Permission Entries list. Even two such special permissions assignments will fill up the Permission Entries list so that you can no longer find a specific permission assignment. The ACL editor's poor design has had a direct impact on our efforts to manage permissions in our growing OU structure. Because of this problem and other anomalies, we avoid complicated security editing of AD ACLs unless absolutely necessary.

Это из "Beyond the Active Directory Delegation of Control Wizard", почитай и эту статью или картинки посмотри ;-).



может я уже давал такой линк но посмотри как буржуи сами делают
<sysadmin> Поиск 






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach