Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
про SAM и уровни функциональности AD. 30.01.04 17:02 Число просмотров: 1596
Автор: nemo Статус: Незарегистрированный пользователь
|
> Просто ситуация такая: есть рабочие станции под Windows 9x, > но домен-контроллеров NT-4 нет ни одного... > Та политика срабатывает для всех рабочих станций - не даёт > SAM, но на контроллере SAM'а как такового нет (отключён),
Не верно.. SAM на контроллерах домена (DCs) всегда есть и работает. Он отличается от SAM NT4 тем, что SAM NT4 хранит свою БД в специальном разделе реестра, в то время как SAM на DCs хранит свю БД в атрибутах AD. Это обеспечивает станциям Pre-Windows 2000 возможность работать в домене Win2K AD без инсталляции DSClient (обновления дл работы в домене). На функциональность службы SAM влияет четыре параметра:
1) Уровень функциональности домена AD (nativ или pre-windows 2000)
2) Параметр политики безопастности "Dont allow anonymouse enumeration of SAM accounts"
3) FSMO роль контроллера PDC-эмулятор.
4) Состав группы Pre-Windows 2000 Access
> но есть AD... Вот тут этот аноним и берёт список > пользователей и начинает перебор...
То, о чём говорил Killer это права на объекты NTDS (их ACL), они играют роль только когда происходит обращение к NTDS через ADSI или непосредственно LDAP. В этом случае играет роль то, кто входит в группу Pre-Windows 2000 Access, но только для авторизованных пользователей, а не анонимных.
Итого: Доступ анонимных пользователей к SAM DC определяется:
1) Настройкой политики безопастности применяемой локально или на уровне OU=Domain Controllers
2) Уровнем функциональности домена.
|
|
|