Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
to HandleX & Deviator – и да, и нет 30.12.03 01:50 Число просмотров: 2304
Автор: void <Grebnev Valery> Статус: Elderman
|
>> бы временно исключал группу, скажем, "USERS1C" из ACL
>> для терминал сервиса. Это приведёт к тому, что…
> ...поскольку есть подозрение, что список доступа грузиться > сервисом при старте из реестра в оперативную память и > больше не перечитывается...
В общем случае это не «совсем так» (если рассматривать любые, в том числе, сетевые службы W2k), имхо. Думаю, реестр не _пере_читывается, если не было сделано изменений в ACL для того или иного объекта. Для терминал сервисов есть другие существенные отличия. В конце я приведу ряд соображений.
> Исключено, вся модель безопасности посторена на проверке прав припопыткедоступа.
Это совершенно верно, но только не для терминал сервиса, имхо. См. ниже.
Мои соображения:
1) Несмотря на грубость товарища AlexD <Alexander> (в начале нитки), следует признать, чтоотчастион прав. Сhange logon позволяет действительно быстро запретить ( в том числе и себе ;)) ) логон терминалом. Однако при этом товарищЪ умолчал, что все изменения будут касаться только пользователей, которые попытаются логониться терминалом после выполнения этой команды. Это же касается и ACL, см. п.2.
Если HANDLEX имел ввиду ЭТО – ТО ОН БЕЗУСЛОВНО ПРАВ.
2) Что касается ACL для терминал сервиса – понятно, что можно сделать это разными способами. Я предпочитаю – прямо в разрешениях в оснастке для RDT.
Т.е. Adminstrative Tools-> Terminal Services Configuration -> RDT-Tcp -> Properties -> Permissions -> …. Там я удаляю те группы юзверей, которых буду затем временно «отключать». При этом для себя я оставляю соответствующие права для использования терминал сервиса, т.к. почти всё администрирую удалённо.
Но важно другое. Если Вы проделаете эту операцию, то увидите сообщение –
Configuration changes have been made to the Registry; however, the user session now on the RDP-Tcp connection will not be changed.
Если HANDLEX имел ввиду ЭТО – ТО ОН БЕЗУСЛОВНО ПРАВ.
Все изменения будут касаться пользователей только при следующем логоне. Т.е. мы имеем тоже, что и в п.1.
Здесь замечу, что если рассматривать модель безопасноти W2k, то такое поведение характерно только для терминал сервиса и ещё в очень специфических случаях, когда, например, Вы изменяете в машинной политике Restricted Group. В других случаях, когда вы вносите изменения для объектов, например, общих сетевых ресурсов, - это отражается на пользователях «мгновенно».
ПС. Не серчайте, если чего не так сказал;)) Amirul правильно заметил – я не админ. Мне платят в конторе за другие гадости ;)))
С наступающим, братцы.
|
|
|