Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Я знал это! Я облазил уже в десятый раз эти политики и... 22.02.05 14:42 Число просмотров: 1617
Автор: Time Статус: Незарегистрированный пользователь
|
Я знал это! Я облазил уже в десятый раз эти политики и наконец таки нашел!
Итак, пункты 1 и 2 решены. НО как мне быть с остальными? Чувствую, что тут програмить надо, но, не обучен, блин.....
|
<sysadmin>
|
аудит и контроль времени работы юзеров 21.02.05 20:38
Автор: Time Статус: Незарегистрированный пользователь
|
Нужна помощь.
Вот уже долго не могу решить следующие проблемы.
Есть домен(w2k3) с юзерами(w2k).
Надо (в порядке возрастания сложности и увеличения важности) :
1. Запретить пользователям делать шатдаун. Вместо выключения делать логоф.
2. Запретить пользователям убивать процессы из таскмэнеджера, а лучше запретить вообще его вызывать.
3. Запретить логиниться с нескольких машин одновременно.
4. Вести аудит сеансов пользователей. Есть, например, такой чат "IChat". Эта штука автоматически определяет имя пользователя из windows logon, записывет время входа в чат и выхода из него. Мне нужно почти тоже самое, т.е. хочу, чтобы у меня были логи того, кто, когда залогился (не в чат, а вообще в систему), активен или нет, сколько времени находится в сети, когда сделал логоф.
5. На основе этих данных сделать счетчик времени, который считает время пребывания пользователя в сети и по достижении некоторого значения (в день, в неделю и т.д.) делает логоф.
|
|
вот что можно сделать 22.02.05 16:44
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Нужна помощь. > Вот уже долго не могу решить следующие проблемы. > Есть домен(w2k3) с юзерами(w2k). > Надо (в порядке возрастания сложности и увеличения > важности) : > 1. Запретить пользователям делать шатдаун. Вместо > выключения делать логоф. это решается доменной политикой
> 2. Запретить пользователям убивать процессы из > таскмэнеджера, а лучше запретить вообще его вызывать. убивать чьи процессы? свои он сможет всегда убивать. Если надо чтобы работали процессы и юзер не мог их прибить, запускать их при входе в систему из под учетной записи администратора компа. Запрет вызова диспетчера тоже легко осуществляем (dword:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr=1), но нет гарантии что это не будет сделано аналогичной программой
> 3. Запретить логиниться с нескольких машин одновременно. этого не знаю как реализовать
> 4. Вести аудит сеансов пользователей. Есть, например, такой > чат "IChat". Эта штука автоматически определяет имя > пользователя из windows logon, записывет время входа в чат > и выхода из него. Мне нужно почти тоже самое, т.е. хочу, > чтобы у меня были логи того, кто, когда залогился (не в > чат, а вообще в систему), активен или нет, сколько времени > находится в сети, когда сделал логоф. включить аудит входы/выхода в вистему. На контролере домена в лог будет писаться время входы/выхода каждого пользователя
> 5. На основе этих данных сделать счетчик времени, который > считает время пребывания пользователя в сети и по > достижении некоторого значения (в день, в неделю и т.д.) > делает логоф. штатными средствами не знаю. Но можно самому написать парсилку логов и самому отлогинивать пользователя
|
| |
аудит включен. а где находится этот журнал? 22.02.05 17:38
Автор: Time Статус: Незарегистрированный пользователь
|
|
| | |
В журналах безопасности на контроллерах домена. 22.02.05 17:48
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
1 и 2 - групповыми политиками запрещается 21.02.05 22:53
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
| |
Я знал это! Я облазил уже в десятый раз эти политики и... 22.02.05 14:42
Автор: Time Статус: Незарегистрированный пользователь
|
Я знал это! Я облазил уже в десятый раз эти политики и наконец таки нашел!
Итак, пункты 1 и 2 решены. НО как мне быть с остальными? Чувствую, что тут програмить надо, но, не обучен, блин.....
|
| | |
Re: 22.02.05 15:43
Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 22.02.05 15:51 Количество правок: 3
|
3) можно позволить юзеру логиниться только на определённые машины. Такое не пойдёт? Это в свойствах аккаунта пользователя поле "Logon To:".
4) В политиках аудита на каждую машину можно выставить аудит на Logon, Logof and System, и написать софтину, анализирующую логи. Но при неожиданном вырубании машины logoff записан не будет, со всеми вытекающими ;-)
5) Счётчик времени основывается на п.4, но вот автоматический логофф это да, сильно... Если только делать периодический пересчёт, отключать аккаунт, и делать Force logoff на клиентской тачке.
Но уж если что-то писать, то лучше писать интерактивную службу на каждую машину, анализирующую текущего пользователя, считающую время, и делающую логофф когда надо.
Надо же когда-то начинать программировать? ;-)
Интернет-кафе или игровой клуб?
|
| | | |
Это не пойдет(. Юзер имеет право логиниться на любой тачке. 22.02.05 16:08
Автор: Time Статус: Незарегистрированный пользователь
|
> 3) можно позволить юзеру логиниться только на определённые > машины. Такое не пойдёт? Это в свойствах аккаунта > пользователя поле "Logon To:". Это не пойдет(. Юзер имеет право логиниться на любой тачке.
> 4) В политиках аудита на каждую машину можно выставить > аудит на Logon, Logof and System, и написать софтину, > анализирующую логи. Но при неожиданном вырубании машины > logoff записан не будет, со всеми вытекающими ;-) Неожиданного вырубания не будет, потому что правов у них таких нет (политиками запрещено), везде упсы стоят. Если только на power нажать и подержать. Но за это я буду карать. А софтину хорошо бы готовую, не умею я, блин, програмить.
> 5) Счётчик времени основывается на п.4, но вот > автоматический логофф это да, сильно... Если только делать > периодический пересчёт, отключать аккаунт, и делать Force > logoff на клиентской тачке. Все упирается в п.4.
> Но уж если что-то писать, то лучше писать интерактивную > службу на каждую машину, анализирующую текущего > пользователя, считающую время, и делающую логофф когда > надо. > > Надо же когда-то начинать программировать? ;-) Согласен. Какие языки то лучше под винду идут? VB, C++ или еще чего?
> Интернет-кафе или игровой клуб? ни то, ни другое. но больше похоже на и-нет кафе. суть в том, что есть тачки для юзеров, есть юзеры. юзеров слишком много (около 200), огромные очереди. все юзеры равны, но кто раньше пришел, тот и сидит, пока ему не надоест (все на халяву). следить за каждым нет ни возможности, ни желания. это все меня напрягает.
|
| | | | |
Можно с Delphi начать — Паскаль мировоззрение не портит ;-) 22.02.05 16:34
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
| | | | | |
Ну давай тут еще holy war разведем :-) 22.02.05 18:46
Автор: amirul <Serge> Статус: The Elderman
|
На мой взгляд как раз делфи и отучает людей программировать (не в такой мере конечно, как бейсик, но все равно довольно сильно) :-)
А вот что ты имеешь в виду под не "мировоззрение не портит"?
|
| | | | | | |
Бейсик и имел ввиду... Да шутка это про мировоззрение, не надо близко к сердцу так... ;-) 22.02.05 18:57
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|