Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59 Число просмотров: 2456
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
<sysadmin>
|
Скрипт при входе в домен 13.03.06 13:52
Автор: MVR Статус: Незарегистрированный пользователь
|
Достал админ домовой сети.
Периодически в локальную группу администраторов (ХР) оказывается включена группа администраторов домена. Удаляю - появляется снова. Не сразу, но появляется. Походу отрабатывает скрипт домена.
Как бороться?
Работаю под бюджетом без локальных админских прав - не помогает.
Отказываться от членства в домене не хочется (много вкусного).
Хотелось бы сохранять в лог текст скриптов при входе, чтоб потом предъявить.
Есть идеи?
|
|
rsop.msc (по идее в XP должно быть) - для текущего... 16.03.06 21:16
Автор: AlexD <Alexander> Статус: Member
|
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб > потом предъявить. > Есть идеи? rsop.msc (по идее в XP должно быть) - для текущего пользователя/компьютера. Там сможешь увидеть все, что применяется к компьютеру и пользователю.
А вообще можно включить и текстовые логи обработки политики....только не помню, как:). Ищи на support.microsoft.com
|
|
Скрипт домена тут не при чем. 15.03.06 14:34
Автор: Den <Denis> Статус: The Elderman
|
> Достал админ домовой сети. > Периодически в локальную группу администраторов (ХР) > оказывается включена группа администраторов домена. Удаляю > - появляется снова. Не сразу, но появляется. Походу > отрабатывает скрипт домена.
Скрипт домена тут не при чем.
Если рабочая станция входит в домен, а не в рабочую группу, то группа администраторов домена добавляется в группу локальных администраторов автоматически.
> Как бороться? > Работаю под бюджетом без локальных админских прав - не > помогает.
Это зря...
Работать надо как минимум под Power Users, а если потребуются права админа, то юзать "run as"
> Отказываться от членства в домене не хочется (много > вкусного).
Хозяин барин...
> Хотелось бы сохранять в лог текст скриптов при входе, чтоб > потом предъявить. > Есть идеи?
Запретить в локальных политиках безопасности любой доступ группе администраторов домена.
Хотя, если админ домена грамотный, то он сможет это обойти доменными политиками, которые перекрывают локальные.
Других идей пока нет.
|
| |
RE: Скрипт домена тут не при чем. 16.03.06 06:53
Автор: MVR Статус: Незарегистрированный пользователь
|
> Скрипт домена тут не при чем. > Если рабочая станция входит в домен, а не в рабочую группу, > то группа администраторов домена добавляется в группу > локальных администраторов автоматически.
Автоматически она добавляется только в момент включения компа в домен. После этого, если не прилагать усилий, она сама по себе туда не попадает. Сделать это можно двумя путями: входным скриптом и политикой домена.
> > Как бороться? > > Работаю под бюджетом без локальных админских прав - не > > помогает. > > Это зря... > Работать надо как минимум под Power Users, а если > потребуются права админа, то юзать "run as"
Den, прочитай внимательно текст, на который отвечаешь - именно так я и работаю.
> Запретить в локальных политиках безопасности любой доступ > группе администраторов домена. > Хотя, если админ домена грамотный, то он сможет это обойти > доменными политиками, которые перекрывают локальные.
Согласен. Защиты нет - можно только запротоколировать операции при входе, потом придъявить их "по понятиям" (законом не реально).
Лог получить можно либо какой-нить тулзой, протоколирующей действия, происходящие при применении политики и запуске входного скрипта. (кому такая тулза на глаза попадёт - отпостите тут ПЛИИИИЗ), либо как-нить настроить аудит, шоб он запротоколировал изменения в системе, хотя опять же аудит апонент отрубит доменной политикой ;(
|
| | |
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы... 17.03.06 11:36
Автор: ivares Статус: Незарегистрированный пользователь
|
> > Скрипт домена тут не при чем. > > Если рабочая станция входит в домен, а не в рабочую > группу, то группа администраторов домена добавляется в группу > > локальных администраторов автоматически. > > Автоматически она добавляется только в момент включения > компа в домен. После этого, если не прилагать усилий, она > сама по себе туда не попадает. Сделать это можно двумя > путями: входным скриптом и политикой домена.
Ошибочка! Ты как раз прилагаешь усилия к клавиатуре, чтобы войти в домен.
И не важно - настроена политика или нет домен админы будут у тебя в локальных.
Так работает домен.
Хочешь знать, что он делает у тебя? Тяжело, уже говорили. Только внешними программулинами.
Сразу даже не скажу какими. То что приходит на ум, требует нудной ручной обработки.
А не проще отрубать его при входе? Поставь фаер и отстрой - блок ip админа, блок входящих нетбиос.
И кажется есть фича в NetView - отрубать пользователей с определенным аккаунтом.
|
| |
а если в домен не входить? 15.03.06 16:49
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
а логиниться локально. Ресурсами домена в этом случае можно просто пользоваться вводом доменного пароля
|
| | |
Так компьютер-то в домене уже небось. При подключении к сети политики применяются (для компьютера). 15.03.06 19:59
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
| | | |
можно вот как сделать 16.03.06 10:20
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman Отредактировано 16.03.06 10:46 Количество правок: 1
|
чтобы потом не рвать волосы на голове, предварительно сделать имидж системного диска к примеру ghost'ом
затем вывести комп из домена с отключенным кабелем (чтобы он на контролере домена остался числится)
поигрался - откатал назад и ты снова в домене ;-))
|
|
|