Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 Защита от доменных админов  [new]
Anonimus
Member

Откуда: Не надо вам туда приезжать- лучше мы к вам
Сообщений: 194
Как сделать что бы админы домена не смогли забратся на мой комп
1 июн 04, 13:02    [713466]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
Выкинуть из локальных админов.


eNose
1 июн 04, 13:06    [713480]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Anonimus
Member

Откуда: Не надо вам туда приезжать- лучше мы к вам
Сообщений: 194
это не поможет. Уже делал
1 июн 04, 13:08    [713483]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
В смысле "не поможет"???
Еще как помогает!



eNose
1 июн 04, 13:10    [713491]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Bigheadman
Member

Откуда:
Сообщений: 2663
Если компьютер включен в домен, то, если не ошибаюсь, это невозможно. На то он и домен, чтобы было централизованное управление ресурсами.
1 июн 04, 13:10    [713494]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
А вот и нет.
Выкидываешь админа домена из локальных админов - и все. Если не стоит каких-нить спецпрог или скрипта в авторане - то ничего доменный админ сделать не сможет.
И вот еще что: пароль локального админа сменить не забудь.



eNose
1 июн 04, 13:20    [713533]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Anonimus
Member

Откуда: Не надо вам туда приезжать- лучше мы к вам
Сообщений: 194
автор
или скрипта в авторане - то ничего доменный админ сделать не сможет.

А если стоит скрипт на подключение?
1 июн 04, 13:23    [713543]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
А вот тут shift очень даже помогает.



eNose
1 июн 04, 13:25    [713554]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Anonimus
Member

Откуда: Не надо вам туда приезжать- лучше мы к вам
Сообщений: 194
в смысле? Нажать при загрузки и доменная политика не применится?
1 июн 04, 13:45    [713633]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
Скрипт не выполнится.
А лучше напиши прогу, которая будет сидеть в авторане и грохать в реестре нужные ветки.


eNose
1 июн 04, 13:57    [713683]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Stacs
Member

Откуда: Оренбург
Сообщений: 188
Добрый день!!! :)
Ан нет eNose, все получится!!! Недавно сам проверял - обратился парнишки знакомый: он устроился на новое место работы и над ним издевался админ Так вот - сам попробовал добиться такого же эффекта-получилась следующая цепочка: Сеть-Папка-Комп-Управление-Службы-Запускаем Телнет и издеваемся Если есть траблы с правами, то меняем доступ в Уравляющий элемент WMI.
Как выход, вполитике безопасности прописывается то ли локальный вход, то ли доступ из сети к компу - точно не помню.
1 июн 04, 14:27    [713827]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
А зачем поднимать телнет на рабочем компе???
И вообще, выруби все лишние службы.

И в юзверях обязательно убери "ДОМЕН\ВСЕ".


ЗЫ: а ты уверен, что не стоит никаких прог левых?

eNose
1 июн 04, 14:40    [713890]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Stacs
Member

Откуда: Оренбург
Сообщений: 188
eNose:
Я не создатель топика Я просто постарался опровергнуть твой вывод - а пример приведен как один из вариантов доступа админа локалки к компу без расшаренных ресурсов (что довольно легко, кстати, исправить с его правами ) и т.п. вещей.
1 июн 04, 14:50    [713929]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
Если AD, то админ может настроит GPO на добавление группы Domain Admins в группу локальных Админов
Перебить GPO нельзя

А зайти на машину можно и по скрытой (админской) шаре
1 июн 04, 15:45    [714124]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Stacs
Member

Откуда: Оренбург
Сообщений: 188
Как мне однажды сказал один главный инженер банка:"Админ домена в сети связки 2000-2000Сервер имеет ПОЛНЫЕ права и сможет зайти на любой хост" И тут, на мой взгляд, выступают на передний план знания этих самых админа и пользователя И если пользовательь знает больше, значит админа пора менять....

Вечная борьба противоположностей
1 июн 04, 17:01    [714435]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
_Sania
Member

Откуда: СПб
Сообщений: 376
GPO в AD применяется при входе и с определенным интервалам (кажется по умолчанию 2 часа), естественно все что там прописано отработается - не зависимо от того есть ли в локальных админах админ домена или нет. Единственный выход, прогонять после применения GPO скрипт, который будет эту самую GPO вычищать, т.е. выкидывать всех лишних из локальных админов удалять лишние ветки в реестре и т.д.

Админ домена в любой момент может вручную применить GPO.
Есть всякие настройки в локальной Win, типа не применять GPO, а в AD применять GPO не зависимо от локальных настроек и т.д., в итоге самая последняя настройка все таки применяте GPO, так что я их даже не привожу.

В чем смысл конфликта?
Админ домена всегда может лишить пользователя прав локального админа.
1 июн 04, 18:30    [714750]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Anonimus
Member

Откуда: Не надо вам туда приезжать- лучше мы к вам
Сообщений: 194
Ну ребята подскажите чего делать то ну не люьблю я когда по моей машине кто то шарится
2 июн 04, 08:47    [715385]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
eNose
Member

Откуда:
Сообщений: 183063
Почитал я про GPO.
Есть таки способ :-)

0) gpedit.msc - очень внимательно и аккуратно настроить :-)
1) Вырубить службу "Удаленное управление реестром".
2) Вырубить службу "Сервер".

Правда, тогда вообще никто не сможет по сети подключиться.



eNose
2 июн 04, 09:28    [715464]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Oleg_Martynov
Member

Откуда: Бокситогорск, Лен. обл.
Сообщений: 890
На самом деле, если админ нормальный - никак.
Пример: сейчас я работаю не под админом - мой аккаунт для обычных работ. Решил проверить, все ли дырки я заткнул. Попытка выполнить gpedit.msc как и положено заканчивается "У вас нет разрешения на выполнения этой операции".
Если контора большая - в чём проблема? У админа, если он не маньяк страдающий вуайеризмом, достаточно другой работы. А доступ к станциям ему иногда нужен - иначе он не сможет управлять работой сети.
Удачи!
2 июн 04, 11:01    [715832]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
Кока
Member

Откуда: Москва
Сообщений: 63
После просмотру данного топика, задумался, да и запретил все пользователям запускать консоль управления,да и другую дребедень, пусть теперь поубирают админов домена из локальных админов.
Что бы не получилось аля:
Stacs
И если пользователь знает больше, значит админа пора менять....

Спасибо за топик.

Картинка с другого сайта.
2 июн 04, 16:07    [717014]     Ответить | Цитировать Сообщить модератору
 Re: Защита от доменных админов  [new]
paparome
Member

Откуда: Москва
Сообщений: 4312
2 Кока

Нефиг пользователям делать в группе локальных админов - тогда и проблем будет меньше :)
2 июн 04, 16:15    [717040]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить