-
Как запретить доступ для Domain User
Есть сервер приложений под управлением Windows Server 2003 SP1. Сервер член домена. Для функционирования установленного приложения необходимо открыть общий доступ на папку для аккаунта Everyone (Все) с правами записи. Под этой группой "Все" подразумеваются пользователи локально зарегистрированные на сервере (а не в домене). Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны. На практике получилось, что все пользователи Domain User могут пользоваться этим ресурсом. Как запретить доступ на шару для Domain User?
Опыт — это слово, которым люди называют свои ошибки.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Можно попробовать выставить явно для Domain User запрет. У виндовса запреты имеют больший приоритет. Если на диске - НТФС, то можно еще попробовать поставить эти-же запреты на чтение-запись.
-
-
Kuzz, спасибо. Я тоже решил так сделать, если, конечно, не найду где Domain User получают права пользователей сервера.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Основная проблема этого случая: группа "Everyone" (SID S-1-1-0). То-есть идентификация (для работы с правами гр.Everyone) не проводится.
-
-
Я думаю, что в этом контексте Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users.
А насчёт обязательности доступа для Everyone - это экспериментально проверено или написано в инструкции? Я лет несколько назад тоже в одном мануале такое прочитал, позвонил в теходддержку, мне сказали, что на самом деле достаточно права на изменение для тех, кто допущен. А в мануале написали самый простой вариант "для чайников".
-
-
Сообщение от
pig
Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users.
Я тоже так думаю, но явный для Domain User запрет остановит их (пользователей) авторизацию, т.е. доступ запрещен; а с другими вариантами - непонятки, т.к. винда отображает списки ACL не в той последовательности, в которой обрабатывает..
Сообщение от
pig
А насчёт обязательности доступа для Everyone...
если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.
The worst foe lies within the self...
-
-
Сообщение от
Kuzz
если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.
Изначально была написана для NT4.0, потом после небольшой доработки разработчиком стало возможным запускать на W2k и выше. Everyone - оптимальный вариант, к сожалению. Саппорт гарантирует работу только при такой настройке. Спасибо за советы. Буду пробовать явно запрещать доступ для Domain User.
Опыт — это слово, которым люди называют свои ошибки.
-
-
Сообщение от
SuperBrat
Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны.
Это я погорячился. Интерактивные и Прошедшие проверку желательно оставить. А для Domain User выставил явный запрет. Kuzz, спасибо еще раз за наводку.
Опыт — это слово, которым люди называют свои ошибки.
-