Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Everyone W2003 07.06.06 05:10
Автор: void <Grebnev Valery> Статус: Elderman
|
В домене W2k два файл серевера W2003 (Dell с предустановленным файл сервером).
Досталось по наследству. История больных такова:
Админы сделали диски Share (не X$). Поскольку они секурити специалисты были по совместительству, то удалили все _permission _ для Everyone. Разрешения (Share + NTFS Permission раздавали персонально) .
Появилось на этих серверах два эфекта:
1) Невозможно создать на этих дисках Share обычным способом, основываясь на Groups (access denied). Можно обеспечить сетевой доступ только, дав разрашения и NTFS permission отдельным user-ам.
2) Попытка применить стандартный секурный шаблон GPO для рабочих станций приводит к краху сразу после обновления политики на хостах. Юзеры отконекчиваются.
Думаю вернуть всё взад, дав ntfspermissiomeveryone для всех дисков.
Как думаете? Таблетка поможет?
Спасибо.
ПС. На W2k хостах, что сам взводил и ничего не ломал - всё Ок. Там Share создаются обычным образом.
|
|
В данном случае NTFS разрешения перекрывают разрешения... 07.06.06 11:35
Автор: Cyril <sc> Статус: Member
Отредактировано 07.06.06 11:53 Количество правок: 1
|
> В домене W2k два файл серевера W2003 (Dell с
> предустановленным файл сервером).
> Досталось по наследству. История больных такова:
> Админы сделали диски Share (не X$). Поскольку они секурити
> специалисты были по совместительству, то удалили все
> _permission _ для Everyone. Разрешения (Share + NTFS
> Permission раздавали персонально) .
>
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
В данном случае NTFS разрешения перекрывают разрешения Share
для подключений через сетевой ресурс
NTFS FULL + SHARE READ = READ
NTFS READ + SHARE FULL = READ
Можно дать everyone полный доступ(так по умолчанию сделано в W2k) и тогда только разрешения выставленные посредством Share будут иметь значение и определять конечный доступ
Однако если кто-то получить локальный доступ с правами пользователя (например уязвимость в сервисе запущенном от имени пользователя), то он получает полный доступ к данным (для него будут действовать только NTFS пермишены, а они по умолчанию Full) что ни есть гуд. Поэтому в расстановке ограничений посредством share и ntfs пермишенов есть свой смысл
> 2) Попытка применить стандартный секурный шаблон GPO для
> рабочих станций приводит к краху сразу после обновления
> политики на хостах. Юзеры отконекчиваются.
>
> Думаю вернуть всё взад, дав ntfspermissiomeveryone для
> всех дисков.
> Как думаете? Таблетка поможет?
>
> Спасибо.
>
> ПС. На W2k хостах, что сам взводил и ничего не ломал - всё
> Ок. Там Share создаются обычным образом.
|
| |
Чуток добавлю про отдельных юзеров 07.06.06 23:12
Автор: Woonder <Бученков Андрей> Статус: Member
|
> Появилось на этих серверах два эфекта:
> 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
Старайся и в шаре и НТФС пермишенах в списки доступа добавлять группы а не отдельных юзеров, хотя и не всегда удобно в случае со срочным доступом (Group membership у пользователя обновляется только во время следующего логона) но возьми это за правило и в дальнейшем будет проще управлять доступом на уровне групп а не отдельных пользователей.
|
| | |
Спасибо за ответ. Я это и имел ввиду. 08.06.06 03:57
Автор: void <Grebnev Valery> Статус: Elderman
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
