информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Все любят медПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Утекший код XP и Windows Server... 
 Дела виртуальные 
 Простое пробивание рабочего/провайдерского... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
тупорылость среди юзеров нередкое явление 24.02.05 09:30  Число просмотров: 1299
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
<sysadmin>
винды 22.02.05 18:23  
Автор: dron <Ivanov Andrey> Статус: Member
<"чистая" ссылка>
А можно ли сделать так чтоб у юзера не было прав записи и изменения файлов на локальном диске, но тем не меннее была возможность создания ярлыков на рабочем столе?? Вроде как идеально подходит перемещаемый профиль, но вот тут незадача: при логоне юзера он копируется на локальный диск, и причем даже если юзеру запрещена запись на диск, сама система создает в documents and settings свою папку, на которую дает юзеру полные права. Цель: чтоб все созданные юзером документы хранились исключительно на сети, и у него не было ни малейшей возможности запихнуть их себе на диск....
Можно дать запрет на изменение D&S, а затем разрешить rw ntuser.dat, .ini, .log ; desctop ; %temp% ; обязательно надо запретить удаление и делать его вручную или по logon-скрипту. Ведь продвинутый юзер может запихнуть туда какую-нить "заразу" 22.02.05 20:45  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 22.02.05 20:49  Количество правок: 3
<"чистая" ссылка>
Еще один вариант. Сколько ОЗУ у клиентов ? если допустимо, можно создать RAM-Диск, и использовать его в качестве %TEMP%'; Desctop; etc. Для экономии места можно оставить rw ntuser.dat, .ini, .log 23.02.05 14:12  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
это снова противоречит исходной постановке задачи 23.02.05 17:35  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
А задача в том, как юзерам не дать сохранять документы локально.
Предлагаемые меры скорее подталкивают юзеров себя контролировать.
Но еще не научившимся юзерам будет неприятно обнаруживать исчезновение не туда сохраненных документов.
Согласен, но кто мешает добавить в логон-скрипт отображение правил работы? В принципе - никто. В результате все предупреждены и "непонятки" могут появиться только из-за откровенной тупорылости. 23.02.05 21:43  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
тупорылость среди юзеров нередкое явление 24.02.05 09:30  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Согласен, но именно поэтому требуется публикация правил, например при логоне. Или в качестве обоев. Ярлык MyDocuments - легко "нацеливается" на сервер в том же logon-скрипте. 25.02.05 08:12  
Автор: kstati <Евгений Борисов> Статус: Elderman
<"чистая" ссылка>
rw для desctop давать нельзя, иначе юзеры прямо туда документы и будут складывать 22.02.05 21:03  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Тогда тем же скриптом килять с десктопа всё, что больше 1 кб. 23.02.05 03:01  
Автор: push <Dmitry> Статус: Member
Отредактировано 23.02.05 03:02  Количество правок: 1
<"чистая" ссылка>
тогда уж больше 5 кб или даже 10 кб 23.02.05 17:43  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
У меня, например, на компе есть ярлычок больше 4 кб размером, причем созданный не мной в порыве изврата, а инсталлятором популярной софтины.
А еще лучше оставлять файлы *.lnk и прочие, которые имеют право по замыслу быть на столе.
Но это все тоже не подходит, ибо см. мой ответ выше: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=118913

Хотя можно предложить компромисную модификацию этого варианта -- не удалять, а переносить во временное хранилище, откуда уже и удалять через определенное время, если юзер не спохватился о пропаже.
При таком подходе юзеры не будут сильно страдать при сохранении документов локально.
совсем зарезать не получится. 22.02.05 20:37  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
совсем зарезать не получится.
В профайле юзера лежит ветка реестра HKCU (файл ntuser.dat). Понятно, что системе нужен доступ к ней. Единственный способ ИМХО - вставить юзеру в логон скрипт выставление всех пермишенов в локальном профайле так как надо.
с точки зрения безопасности NTFS ярлыки ничем не отличаются от документов 22.02.05 19:31  
Автор: LLL <Алексей> Статус: Member
<"чистая" ссылка>
Поэтому тут я вижу 2 варианта:
1) использование внешней проги, которая накладывает свои ограничения на работу с файловой системой, например, запрещая создавать в каталоге для рабочих столов любые файлы, кроме *.lnk
2) использование опять-таки внешней проги-службы, которая бы работала с админскими правами и позволяла создавать ярлыки на столе или просто копировать откуда-то (с сети) на стол файлы с ярлыками.

Все это только лишь мысли, т.к. готовых прог с такими функциями я не видел.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach