Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Это нормально реализовано в Novell NetWare. 08.04.04 14:12 Число просмотров: 1407
Автор: Den <Denis> Статус: The Elderman
|
|
Если у тебя пользователи не прыгают с одного компа на другой, то в AD, по аналогии с доменом Windows NT, должен быть для каждого пользователя список имен рабочих станций, с которых он может логиниться в домен.
|
|
<sysadmin>
|
запрет входа на разные компы в одно и тоже время под одной учётной записью домена? 07.04.04 17:40
Автор: neva102 Статус: Незарегистрированный пользователь
|
|
Как в домене Win2000 запретить входить на несколько компов в одно и тоже время под одной учётной записью ? Без этого хоть на всех машинах могут работать под одной учётноой записью домена, со всеми вытекающими :(
|
|
Может этот метод и к Виндовсу можно применить: По крайней... 09.04.04 10:39
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 09.04.04 10:40 Количество правок: 1
|
> Как в домене Win2000 запретить входить на несколько компов
> в одно и тоже время под одной учётной записью ? Без этого
> хоть на всех машинах могут работать под одной учётноой
> записью домена, со всеми вытекающими :(
Может этот метод и к Виндовсу можно применить: По крайней мере в Юниксах можно сделать так, чтоб у юзера при логине батничик выполнялся (на этот батничик надо права соответственно выставить, чтоб юзер его поменять не смог, а выполнить смог). В этом батничке можно проверить зарегистрирован ли уже этот юзер в системе, если да, то "до свидания".
|
| |
Вот это то что надо, только как это в Win2000 домен... 09.04.04 11:31
Автор: neva102 Статус: Незарегистрированный пользователь
|
> > Как в домене Win2000 запретить входить на несколько
> компов
> > в одно и тоже время под одной учётной записью ? Без
> этого
> > хоть на всех машинах могут работать под одной учётноой
> > записью домена, со всеми вытекающими :(
> Может этот метод и к Виндовсу можно применить: По крайней
> мере в Юниксах можно сделать так, чтоб у юзера при логине
> батничик выполнялся (на этот батничик надо права
> соответственно выставить, чтоб юзер его поменять не смог, а
> выполнить смог). В этом батничке можно проверить
> зарегистрирован ли уже этот юзер в системе, если да, то "до
> свидания".
Вот это то что надо, только как это в Win2000 домен прикрутить и нет ли готового решения?
|
| | |
Это не так-то просто... 09.04.04 13:16
Автор: Den <Denis> Статус: The Elderman
|
Для подобного решения придется писать прогу (вряд ли для подобных случаев кто-то, что-то уже написал). Так же есть основания полагать, что придется писать свой GINA драйвер.
Можно попробовать следующий вариант:
1. Поставить в сеть Novell NetWare сервер 5.0 или выше (для этого можно приспособить любое свободное железо).
2. Синхронизировать учетные записи пользователей в AD с сервером NetWare (имеется ввиду синхронизация имен пользователей и паролей).
3. На рабочих станциях поставить первую авторизацию через NetWare.
|
| | | |
готовое решение от MS 20.04.04 10:41
Автор: neva102 Статус: Незарегистрированный пользователь
|
> Для подобного решения придется писать прогу (вряд ли для
> подобных случаев кто-то, что-то уже написал). Так же есть
> основания полагать, что придется писать свой GINA драйвер.
>
> Можно попробовать следующий вариант:
> 1. Поставить в сеть Novell NetWare сервер 5.0 или выше (для
> этого можно приспособить любое свободное железо).
>
> 2. Синхронизировать учетные записи пользователей в AD с
> сервером NetWare (имеется ввиду синхронизация имен
> пользователей и паролей).
>
> 3. На рабочих станциях поставить первую авторизацию через
> NetWare.
Всем спасибо, если кому интересно вот что мне на Ru-boarde подкинули- готовые решения:
1. http://support.microsoft.com/default.aspx?scid=kb;en-us;260364
2. http://support.microsoft.com/default.aspx?scid=kb;en-us;237282
|
| | | | |
Ну да, можно и так. :)) С M$ это как всегда через %опу. 20.04.04 13:12
Автор: Den <Denis> Статус: The Elderman
|
Нечто подобное плавало в голове, но я посчитал эту мысль никуда не годной, т.к. можно себе представить кол-во шар на предприятии с более сотни пользователей и работу администратора по созданию этих шар.
А пример скрипта в разделе Implement Concurrent Logon Restrictions явно писал ламерюга. На мой взгляд он должен выглядеть так:
net use T: /delete
net use T: \\<Servername>\<sharename>
if exist T:\nul goto end
echo Y | logoff.exe
:end
---
P.S. Сказанное выше относиться к KB260364.
Комментарий к KB237282 и к моему предыдущему посту на:
> Для подобного решения придется писать прогу
> (вряд ли для подобных случаев кто-то, что-то уже написал).
Как я ошибался... :))) M$ сама написала прогу для подобных случаев.
|
| | | | | |
насчёт "ламерюг" не торопись 20.04.04 14:24
Автор: Deviator <n/a> Статус: Member
Отредактировано 20.04.04 14:29 Количество правок: 1
|
[...]
> А пример скрипта в разделе Implement Concurrent
> Logon Restrictions явно писал ламерюга. На мой
> взгляд он должен выглядеть так:
>
> net use T: /delete > net use T: \\<Servername>\<sharename>
> if exist T:\nul goto end
> echo Y | logoff.exe
> :end
---
[...]
строка:
if exist T:\nul goto end
равносильна сртоке:
if exist T: goto end
а в "оригинальном" батнике просто лишние 2 строки:
net use T: /delete
net use T: \\<Servername>\<sharename>
if exist T: goto end
REM if not exist T: goto logout
REM :logout
echo Y | logoff.exe
:end
для наглядности они заремлены (в них просто нет смысла, но и вреда от них нет).
P.S. А само по себе "решение" от MS - дурацкое.
|
| | | | | | |
А еще лучше так:) 21.04.04 20:10
Автор: Den <Denis> Статус: The Elderman
|
net use T: /delete
net use T: \\<Servername>\<sharename>
if not exist T:\nul echo Y | logoff.exe
---
|
|
Это нормально реализовано в Novell NetWare. 08.04.04 14:12
Автор: Den <Denis> Статус: The Elderman
|
|
Если у тебя пользователи не прыгают с одного компа на другой, то в AD, по аналогии с доменом Windows NT, должен быть для каждого пользователя список имен рабочих станций, с которых он может логиниться в домен.
|
|
рекомендация такова. 08.04.04 12:07
Автор: nemo Статус: Незарегистрированный пользователь
|
В идеалогии MS изначально заложено понятие IntelliMirror - Это означает, что вместе с пользователем путешествуют и его персональные данные, не зависимо от того на какой раб. станции он сел работать.
Это достигается засчёт:
1) Мапирования дисков
2) Включением в локальные группы доменных рабочих станций типовых доменных групп.
3) Перемещаемых профилей, хранимых на серверах
4) Доменными политиками, позволяющими перенаправлять элементы интерфейса пользователя (напимер некоторые папки профиля [Мои Документы, Мои Рисунки]) и осуществляющими настройку среды пользователя.
5) Хранением почтовых сообщений на серверах MS Exchange
6) Офлайн общими файловыми папками и офлайн папками почтовых ящиков MS Exchange
Для блокирования доступа любого пользователя домена на рабочие станции есть фктически два способа:
1) В свойствах пользователя в AD указать, конкретно на какие рабочие станции (по именам) он может логиниться. Для этого требуется, чтобы в сети корректно работал NetBIOS и как следствие желательно поднимать WINS.
2) С помошью групповой политики (Restricted Groups) исключить группу Domain Users из локальной группы Users на рабочих станциях, а легитимных пользователей включить в группу Power Users. Как вариация на тему - с использованием WMI создать на всех компьютерах локальную группу безопастности WorkUsers, руками включить в неё легитимных пользователей, а с помошью групповой политики домена (Restricted Groups) исключить группу Domain Users из локальной группы Users и включить в неё группу WorkUsers.
|
| |
Спасибо за советы, но дело в том что мне надо чтобы скажем... 09.04.04 09:47
Автор: neva102 Статус: Незарегистрированный пользователь
|
> В идеалогии MS изначально заложено понятие IntelliMirror -.................. локальной группы Users и включить в неё группу WorkUsers.
Спасибо за советы, но дело в том что мне надо чтобы скажем любой пользователь мог в любое время работать на любой машине И ПРИ ЭТОМ НЕ БЫЛО БЫ ОДНОВРЕМЕННО 2х и более залогинившихся под одной учётной записью.
Т.е. если User уже работает на комп1, то при попытке залогинится на комп2 опять таки под именем User выдавало что такой пользователь уже работает, используйте свою (другую -user2) учётную запись. Может это под Win2000 доменом и невозможно ? Просто в советах по настройках win2003server видел ответ что нельзя логинится Админом на контроллере домена если подкл. рабочую станцию, иначе может не вкл. в домен (пишет такой пользователь уже используется)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
