В домене W2k два файл серевера W2003 (Dell с предустановленным файл сервером).
Досталось по наследству. История больных такова:
Админы сделали диски Share (не X$). Поскольку они секурити специалисты были по совместительству, то удалили все _permission _ для Everyone. Разрешения (Share + NTFS Permission раздавали персонально) .
Появилось на этих серверах два эфекта:
1) Невозможно создать на этих дисках Share обычным способом, основываясь на Groups (access denied). Можно обеспечить сетевой доступ только, дав разрашения и NTFS permission отдельным user-ам.
2) Попытка применить стандартный секурный шаблон GPO для рабочих станций приводит к краху сразу после обновления политики на хостах. Юзеры отконекчиваются.
Думаю вернуть всё взад, дав ntfspermissiomeveryone для всех дисков.
Как думаете? Таблетка поможет?
Спасибо.
ПС. На W2k хостах, что сам взводил и ничего не ломал - всё Ок. Там Share создаются обычным образом.
В данном случае NTFS разрешения перекрывают разрешения...07.06.06 11:35 Автор: Cyril <sc> Статус: Member Отредактировано 07.06.06 11:53 Количество правок: 1
> В домене W2k два файл серевера W2003 (Dell с > предустановленным файл сервером). > Досталось по наследству. История больных такова: > Админы сделали диски Share (не X$). Поскольку они секурити > специалисты были по совместительству, то удалили все > _permission _ для Everyone. Разрешения (Share + NTFS > Permission раздавали персонально) . > > Появилось на этих серверах два эфекта: > 1) Невозможно создать на этих дисках Share обычным > способом, основываясь на Groups (access denied). Можно > обеспечить сетевой доступ только, дав разрашения и NTFS > permission отдельным user-ам. В данном случае NTFS разрешения перекрывают разрешения Share
для подключений через сетевой ресурс
NTFS FULL + SHARE READ = READ
NTFS READ + SHARE FULL = READ
Можно дать everyone полный доступ(так по умолчанию сделано в W2k) и тогда только разрешения выставленные посредством Share будут иметь значение и определять конечный доступ
Однако если кто-то получить локальный доступ с правами пользователя (например уязвимость в сервисе запущенном от имени пользователя), то он получает полный доступ к данным (для него будут действовать только NTFS пермишены, а они по умолчанию Full) что ни есть гуд. Поэтому в расстановке ограничений посредством share и ntfs пермишенов есть свой смысл
> 2) Попытка применить стандартный секурный шаблон GPO для > рабочих станций приводит к краху сразу после обновления > политики на хостах. Юзеры отконекчиваются. > > Думаю вернуть всё взад, дав ntfspermissiomeveryone для > всех дисков. > Как думаете? Таблетка поможет?
> > Спасибо. > > ПС. На W2k хостах, что сам взводил и ничего не ломал - всё > Ок. Там Share создаются обычным образом.
Чуток добавлю про отдельных юзеров07.06.06 23:12 Автор: Woonder <Бученков Андрей> Статус: Member
> Появилось на этих серверах два эфекта: > 1) Невозможно создать на этих дисках Share обычным
> способом, основываясь на Groups (access denied). Можно
> обеспечить сетевой доступ только, дав разрашения и NTFS
> permission отдельным user-ам.
Старайся и в шаре и НТФС пермишенах в списки доступа добавлять группы а не отдельных юзеров, хотя и не всегда удобно в случае со срочным доступом (Group membership у пользователя обновляется только во время следующего логона) но возьми это за правило и в дальнейшем будет проще управлять доступом на уровне групп а не отдельных пользователей.
Спасибо за ответ. Я это и имел ввиду.08.06.06 03:57 Автор: void <Grebnev Valery> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
