Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
аудит включен. а где находится этот журнал? 22.02.05 17:38 Число просмотров: 1673
Автор: Time Статус: Незарегистрированный пользователь
|
|
|
|
<sysadmin>
|
аудит и контроль времени работы юзеров 21.02.05 20:38
Автор: Time Статус: Незарегистрированный пользователь
|
Нужна помощь.
Вот уже долго не могу решить следующие проблемы.
Есть домен(w2k3) с юзерами(w2k).
Надо (в порядке возрастания сложности и увеличения важности) :
1. Запретить пользователям делать шатдаун. Вместо выключения делать логоф.
2. Запретить пользователям убивать процессы из таскмэнеджера, а лучше запретить вообще его вызывать.
3. Запретить логиниться с нескольких машин одновременно.
4. Вести аудит сеансов пользователей. Есть, например, такой чат "IChat". Эта штука автоматически определяет имя пользователя из windows logon, записывет время входа в чат и выхода из него. Мне нужно почти тоже самое, т.е. хочу, чтобы у меня были логи того, кто, когда залогился (не в чат, а вообще в систему), активен или нет, сколько времени находится в сети, когда сделал логоф.
5. На основе этих данных сделать счетчик времени, который считает время пребывания пользователя в сети и по достижении некоторого значения (в день, в неделю и т.д.) делает логоф.
|
|
вот что можно сделать 22.02.05 16:44
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
> Нужна помощь.
> Вот уже долго не могу решить следующие проблемы.
> Есть домен(w2k3) с юзерами(w2k).
> Надо (в порядке возрастания сложности и увеличения
> важности) :
> 1. Запретить пользователям делать шатдаун. Вместо
> выключения делать логоф.
это решается доменной политикой
> 2. Запретить пользователям убивать процессы из
> таскмэнеджера, а лучше запретить вообще его вызывать.
убивать чьи процессы? свои он сможет всегда убивать. Если надо чтобы работали процессы и юзер не мог их прибить, запускать их при входе в систему из под учетной записи администратора компа. Запрет вызова диспетчера тоже легко осуществляем (dword:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr=1), но нет гарантии что это не будет сделано аналогичной программой
> 3. Запретить логиниться с нескольких машин одновременно.
этого не знаю как реализовать
> 4. Вести аудит сеансов пользователей. Есть, например, такой
> чат "IChat". Эта штука автоматически определяет имя
> пользователя из windows logon, записывет время входа в чат
> и выхода из него. Мне нужно почти тоже самое, т.е. хочу,
> чтобы у меня были логи того, кто, когда залогился (не в
> чат, а вообще в систему), активен или нет, сколько времени
> находится в сети, когда сделал логоф.
включить аудит входы/выхода в вистему. На контролере домена в лог будет писаться время входы/выхода каждого пользователя
> 5. На основе этих данных сделать счетчик времени, который
> считает время пребывания пользователя в сети и по
> достижении некоторого значения (в день, в неделю и т.д.)
> делает логоф.
штатными средствами не знаю. Но можно самому написать парсилку логов и самому отлогинивать пользователя
|
| |
аудит включен. а где находится этот журнал? 22.02.05 17:38
Автор: Time Статус: Незарегистрированный пользователь
|
|
|
| | |
В журналах безопасности на контроллерах домена. 22.02.05 17:48
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
|
1 и 2 - групповыми политиками запрещается 21.02.05 22:53
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
| |
Я знал это! Я облазил уже в десятый раз эти политики и... 22.02.05 14:42
Автор: Time Статус: Незарегистрированный пользователь
|
Я знал это! Я облазил уже в десятый раз эти политики и наконец таки нашел!
Итак, пункты 1 и 2 решены. НО как мне быть с остальными? Чувствую, что тут програмить надо, но, не обучен, блин.....
|
| | |
Re: 22.02.05 15:43
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 22.02.05 15:51 Количество правок: 3
|
3) можно позволить юзеру логиниться только на определённые машины. Такое не пойдёт? Это в свойствах аккаунта пользователя поле "Logon To:".
4) В политиках аудита на каждую машину можно выставить аудит на Logon, Logof and System, и написать софтину, анализирующую логи. Но при неожиданном вырубании машины logoff записан не будет, со всеми вытекающими ;-)
5) Счётчик времени основывается на п.4, но вот автоматический логофф это да, сильно... Если только делать периодический пересчёт, отключать аккаунт, и делать Force logoff на клиентской тачке.
Но уж если что-то писать, то лучше писать интерактивную службу на каждую машину, анализирующую текущего пользователя, считающую время, и делающую логофф когда надо.
Надо же когда-то начинать программировать? ;-)
Интернет-кафе или игровой клуб?
|
| | | |
Это не пойдет(. Юзер имеет право логиниться на любой тачке. 22.02.05 16:08
Автор: Time Статус: Незарегистрированный пользователь
|
> 3) можно позволить юзеру логиниться только на определённые
> машины. Такое не пойдёт? Это в свойствах аккаунта
> пользователя поле "Logon To:".
Это не пойдет(. Юзер имеет право логиниться на любой тачке.
> 4) В политиках аудита на каждую машину можно выставить
> аудит на Logon, Logof and System, и написать софтину,
> анализирующую логи. Но при неожиданном вырубании машины
> logoff записан не будет, со всеми вытекающими ;-)
Неожиданного вырубания не будет, потому что правов у них таких нет (политиками запрещено), везде упсы стоят. Если только на power нажать и подержать. Но за это я буду карать. А софтину хорошо бы готовую, не умею я, блин, програмить.
> 5) Счётчик времени основывается на п.4, но вот
> автоматический логофф это да, сильно... Если только делать
> периодический пересчёт, отключать аккаунт, и делать Force
> logoff на клиентской тачке.
Все упирается в п.4.
> Но уж если что-то писать, то лучше писать интерактивную
> службу на каждую машину, анализирующую текущего
> пользователя, считающую время, и делающую логофф когда
> надо.
>
> Надо же когда-то начинать программировать? ;-)
Согласен. Какие языки то лучше под винду идут? VB, C++ или еще чего?
> Интернет-кафе или игровой клуб?
ни то, ни другое. но больше похоже на и-нет кафе. суть в том, что есть тачки для юзеров, есть юзеры. юзеров слишком много (около 200), огромные очереди. все юзеры равны, но кто раньше пришел, тот и сидит, пока ему не надоест (все на халяву). следить за каждым нет ни возможности, ни желания. это все меня напрягает.
|
| | | | |
Можно с Delphi начать — Паскаль мировоззрение не портит ;-) 22.02.05 16:34
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
| | | | | |
Ну давай тут еще holy war разведем :-) 22.02.05 18:46
Автор: amirul <Serge> Статус: The Elderman
|
На мой взгляд как раз делфи и отучает людей программировать (не в такой мере конечно, как бейсик, но все равно довольно сильно) :-)
А вот что ты имеешь в виду под не "мировоззрение не портит"?
|
| | | | | | |
Бейсик и имел ввиду... Да шутка это про мировоззрение, не надо близко к сердцу так... ;-) 22.02.05 18:57
Автор: HandleX <Александр М.> Статус: The Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
