PDA

Просмотр полной версии : Как запретить доступ для Domain User



SuperBrat
24.02.2007, 13:58
Есть сервер приложений под управлением Windows Server 2003 SP1. Сервер член домена. Для функционирования установленного приложения необходимо открыть общий доступ на папку для аккаунта Everyone (Все) с правами записи. Под этой группой "Все" подразумеваются пользователи локально зарегистрированные на сервере (а не в домене). Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны. На практике получилось, что все пользователи Domain User могут пользоваться этим ресурсом. Как запретить доступ на шару для Domain User?

Kuzz
24.02.2007, 15:41
Можно попробовать выставить явно для Domain User запрет. У виндовса запреты имеют больший приоритет. Если на диске - НТФС, то можно еще попробовать поставить эти-же запреты на чтение-запись.

SuperBrat
24.02.2007, 16:33
Kuzz, спасибо. Я тоже решил так сделать, если, конечно, не найду где Domain User получают права пользователей сервера.

Kuzz
24.02.2007, 16:39
Основная проблема этого случая: группа "Everyone" (SID S-1-1-0). То-есть идентификация (для работы с правами гр.Everyone) не проводится.

pig
25.02.2007, 01:11
Я думаю, что в этом контексте Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users.

А насчёт обязательности доступа для Everyone - это экспериментально проверено или написано в инструкции? Я лет несколько назад тоже в одном мануале такое прочитал, позвонил в теходддержку, мне сказали, что на самом деле достаточно права на изменение для тех, кто допущен. А в мануале написали самый простой вариант "для чайников".

Kuzz
25.02.2007, 10:33
Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users. Я тоже так думаю, но явный для Domain User запрет остановит их (пользователей) авторизацию, т.е. доступ запрещен; а с другими вариантами - непонятки, т.к. винда отображает списки ACL не в той последовательности, в которой обрабатывает..

А насчёт обязательности доступа для Everyone... если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.

SuperBrat
25.02.2007, 10:54
если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.
Изначально была написана для NT4.0, потом после небольшой доработки разработчиком стало возможным запускать на W2k и выше. Everyone - оптимальный вариант, к сожалению. Саппорт гарантирует работу только при такой настройке. Спасибо за советы. Буду пробовать явно запрещать доступ для Domain User.

SuperBrat
26.02.2007, 17:27
Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны.
Это я погорячился. Интерактивные и Прошедшие проверку желательно оставить. А для Domain User выставил явный запрет. Kuzz, спасибо еще раз за наводку.