Форум: "Прочее";
Текущий архив: 2006.12.10;
Скачать: [xml.tar.bz2];

Вниз

WinXP: запретить выход в инет   Найти похожие ветки 

← →
miek ©   (2006-11-22 13:25) [0]

Можно ли (через MMC, например) сделать сабж для _одного_ из user account-ов?

---

← →
Elen ©   (2006-11-22 13:33) [1]

> miek

Используй UserGate или иже с ним

---

← →
miek ©   (2006-11-22 13:39) [2]

UserGate - это что? Файервол? Меня интересуют встроенные средства, назначение прав и т.п.

---

← →
wal ©   (2006-11-22 13:40) [3]

А в ИНЕТ выход как устроен?

---

← →
miek ©   (2006-11-22 13:46) [4]

>А в ИНЕТ выход как устроен?
через локалку.

---

← →
wal ©   (2006-11-22 13:56) [5]

> через локалку.
А конкретней? нат, прокси, может эта локалка не совсем локалка?

---

← →
miek ©   (2006-11-22 14:04) [6]

а конкретнее не знаю. прокси, наверное.

---

← →
Anatoly Podgoretsky ©   (2006-11-22 14:29) [7]

> miek  (22.11.2006 14:04:06)  [6]

"Наверно" - такое понятие не применимо.
С такими понятием "Вероятно" ни чего не получится.

---

← →
miek ©   (2006-11-22 14:32) [8]

"Наверняка", если уж на то пошло.

---

← →
boriskb ©   (2006-11-22 14:34) [9]

miek ©   (22.11.06 14:32) [8]
"Наверняка", если уж на то пошло.

То есть есть человек, ответственный за прокси?
Так у него и попроси - пусть сделает прокси с авторизацией.

---

← →
Anatoly Podgoretsky ©   (2006-11-22 14:47) [10]

> "Наверняка", если уж на то пошло.

Опять гадание на ромашке?

---

← →
novill ©   (2006-11-22 14:52) [11]

тестирование телепаторов :)

---

← →
miek ©   (2006-11-22 14:53) [12]

>То есть есть человек, ответственный за прокси?
>Так у него и попроси - пусть сделает прокси с авторизацией.
Это для меня неприемлемо. Доступ от одного из аккаунтов должен свободный, с другого - запрещен.

>Опять гадание на ромашке?
Будь добр - не флуди.

---

← →
boriskb ©   (2006-11-22 15:00) [13]

miek ©   (22.11.06 14:53) [12]
Это для меня неприемлемо. Доступ от одного из аккаунтов должен свободный, с другого - запрещен

Это как? Прокси этому мешает? :))

Ты скажи - кто (человек) раздает инет по сетке?
Явно не ты.
Спрашивай у того, кто раздает.

---

← →
Anatoly Podgoretsky ©   (2006-11-22 15:03) [14]

> miek  (22.11.2006 14:53:12)  [12]

Если внимательно посмотреть на сообщения, то тебе придется подойти к зеркалу.
Никакой конкретности, только помогите, хочу.

---

← →
miek ©   (2006-11-22 15:14) [15]

>Это как? Прокси этому мешает? :))
>Ты скажи - кто (человек) раздает инет по сетке?
>Спрашивай у того, кто раздает.

М.б. я не вполне четко выразился, но задача такая - есть компьютер, подключенный к локалке. На нем заведено несколько юзеров. Если я зашел под одним аккаунтом, то доступ в интернет должен быть, под другим - нет. Админ далеко и нему не до меня. Можно, конечно, под этим аккаунтом просто запретить запуск IE, но это полумера.

---

← →
boriskb ©   (2006-11-22 15:22) [16]

miek ©   (22.11.06 15:14) [15]
есть компьютер, подключенный к локалке. На нем заведено несколько юзеров.

Это совсем другое дело.

Локальные политики смотри.
Если конечно у тебя не оба юзера админы. Что скорее всего так.
Или нет?

---

← →
Anatoly Podgoretsky ©   (2006-11-22 15:26) [17]

> miek  (22.11.2006 15:14:15)  [15]

То есть ты хочешь обойтись без админа, тяжеловато и легко обходится.
Можешь поставить локальный прокси сервер, запускаемый как сервис от имени системы, но обходится все равно на раз, можно поиграться каким ни будь особым "файрволом", который может блокировать определенный трафик, ведь выход то наверняка через шлюз, вот его и блокировать. Может хватит обычного IPSec - не знаю не пробовал, но по крайней мере это не зависит от браузера и протоколов.

---

← →
Anatoly Podgoretsky ©   (2006-11-22 15:27) [18]

> boriskb  (22.11.2006 15:22:16)  [16]

> Если конечно у тебя не оба юзера админы

Не удивлюсь, а тогда бесполезно.

---

← →
miek ©   (2006-11-22 15:30) [19]

Нет, не два админа. Юзеров я сам создам и отредактирую по своему усмотрению. Вот насчет локальной политики мне интересно - где искать и что.

---

← →
boriskb ©   (2006-11-22 15:33) [20]

miek ©   (22.11.06 15:30) [19]
где искать и что

В помощи винды.
Их и искать.

---

← →
Anatoly Podgoretsky ©   (2006-11-22 15:35) [21]

> miek  (22.11.2006 15:30:19)  [19]

secpol.mmc

---

← →
oxffff ©   (2006-11-22 15:41) [22]

> Anatoly Podgoretsky ©   (22.11.06 15:27) [18]
> > boriskb  (22.11.2006 15:22:16)  [16]
>
> > Если конечно у тебя не оба юзера админы
>
> Не удивлюсь, а тогда бесполезно.


Есть в политике безопасности Параметр "Овладение файлами и иными объектами".
Поменять этот параметр с "Администраторы" на одного админа.
Далее настроить грамотно DACL, то можно  запретить другим админам менять DACL. IMHO

---

← →
boriskb ©   (2006-11-22 15:46) [23]

oxffff ©   (22.11.06 15:41) [22]

Звучит умно.
Опробовано лично?

Неужели можно одного админа сделать более "администым" чем другой?
Это же не личные файлы...

---

← →
oxffff ©   (2006-11-22 16:04) [24]

Если Админа нет в DACL, то он может стать владельцем объекта
(Если он есть в параметре "Овладение файлами или иными объектами").
, и тогда он может модифицировать DACL. И получить доступ к объекту.

Если ограничить этот параметр на одного админа. То другие админы не могут стать владельцами Объекта и не могут модифицировать DACL.

Поэтому часть админов можно сделать более "администыми".

---

← →
oxffff ©   (2006-11-22 16:09) [25]

Естественно нужно позаботиться о том, чтобы другие админы не могли
модифицировать этот параметр "Овладение файлами или иными объектами", аналогичным способом.

---

← →
oxffff ©   (2006-11-22 16:12) [26]

Также нужно убрать лишних админов из параметра "Работа в режиме операционной системы", если есть ( по умолчанию он пуст).

---

← →
boriskb ©   (2006-11-22 16:14) [27]

oxffff ©   (22.11.06 16:09) [25]
Естественно нужно позаботиться о том, чтобы другие админы не могли
модифицировать этот параметр "Овладение файлами или иными объектами", аналогичным способом.

Вот-вот.
До тех пор они на равных.
И как же ты запретишь админу работать с оснасткой?
Тогда он уже не админ будет.

---

← →
oxffff ©   (2006-11-22 17:54) [28]

> boriskb ©   (22.11.06 16:14) [27]
> oxffff ©   (22.11.06 16:09) [25]
> Естественно нужно позаботиться о том, чтобы другие админы
> не могли
> модифицировать этот параметр "Овладение файлами или иными
> объектами", аналогичным способом.
>
> Вот-вот.
> До тех пор они на равных.
> И как же ты запретишь админу работать с оснасткой?
> Тогда он уже не админ будет.


Во первых в груповых политиках есть запреты на оснастки.
А во вторых меняя DACL объектов.
Редактируя DACL mmc и gpedit.msc и т.д.

---

← →
miek ©   (2006-11-23 12:42) [29]

Несколько часов поиска в локальных политиках ничего не дали. Вопрос остается прежним.

---

← →
Alien1769 ©   (2006-11-23 12:58) [30]

А Вы спрашивали у своего сисадмина ? Его ответ плиз.

---

← →
miek ©   (2006-11-23 15:31) [31]

Ну сколько можно говорить - админ мне недоступен.

---

Страницы: 1 вся ветка

Форум: "Прочее";
Текущий архив: 2006.12.10;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.52 MB
Время: 0.05 c