none
Jak zabránit uživatelům, aby se odpojili z domény?

    Dotaz

  • Zdravím,

    máme tu Active Directory doménu, ve které mají všichni uživatelé admin práva ke svým počítačům - ano, bohužel to tak je a změnit se to u nás nedá. S tím souvisí i můj dotaz. Jeden uživatel si se služebním notebookem pokoušel vytvořit domácí síť, a odpojil se z domény. Dokážete si představit, co se dělo ...

    Existuje nějaká možnost, jak uživatelům technicky zamezit ve změnách domény?

    14. března 2012 8:40

Odpovědi

  • 1. V otazce mi chybi zakladni informace o operacnich systemech.

    2. Nekorektni chovani lze omezit administrativnim opatrenim, a to pravidly, ktera zamezuji odpojeni pocitace od domeny. neuposlechniti bude posuzovano jako poruseni pracovnich povinnosti.

    3. Reseni jsem nasel zde (uplne dole)

    http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_25853334.html 

    M

    • Označen jako odpověď Jiri Simek 15. března 2012 10:42
    14. března 2012 9:37
  • To erseni z Experts-Exchange je:

    Hi guys,

    I got a cool solution myself :)

    I create a batch file that only allow full control access to a file called "netid.dll" in the path c:\windows\system32\netid.dll.

    This batch hide the computerName Tab in system properties ... So they can not leave domain or change the computer name :)

    To Hide:

    cscript.exe /h:cscript
    xcacls.vbs  %SystemRoot%\system32\netid.dll /P "MyDomain\domain admins":F /p system:F
    cscript.exe /h:wscript
    
    

    BB

    14. března 2012 11:59
  • Spis bych ten script zjednodusil - proc pouzivat windows scripting host?

    Vytvor si (pokud nemas) extra domenovou skupinu do ktere zahrnes uzivatele, kterym chces odebrat pristup ke zminovane zalozce/funkci. Do startup scriptu pocitacu v prislusne OU jim pak zakaz (DENY) pristup:

       cacls %SystemRoot%\system32\netid.dll /d domena\vysezminenaskupina

    MP



    15. března 2012 8:46

Všechny reakce

  • Kdo je admin, muze vsechno. Proc musi byt admini?

    BB

    14. března 2012 8:42
  • 1. V otazce mi chybi zakladni informace o operacnich systemech.

    2. Nekorektni chovani lze omezit administrativnim opatrenim, a to pravidly, ktera zamezuji odpojeni pocitace od domeny. neuposlechniti bude posuzovano jako poruseni pracovnich povinnosti.

    3. Reseni jsem nasel zde (uplne dole)

    http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_25853334.html 

    M

    • Označen jako odpověď Jiri Simek 15. března 2012 10:42
    14. března 2012 9:37
  • 1. Jde o servery 2008 R2, klienti jsou XP pro a Win7 pro

    2. Administrativní opatření mám v záloze jako poslední možnost - většinou totiž není stoprocentně účinná.

    3. mohl byste mi prosím ten odkaz nějak přetlumočit? Nemám tam přístup.

    14. března 2012 9:54
  • To erseni z Experts-Exchange je:

    Hi guys,

    I got a cool solution myself :)

    I create a batch file that only allow full control access to a file called "netid.dll" in the path c:\windows\system32\netid.dll.

    This batch hide the computerName Tab in system properties ... So they can not leave domain or change the computer name :)

    To Hide:

    cscript.exe /h:cscript
    xcacls.vbs  %SystemRoot%\system32\netid.dll /P "MyDomain\domain admins":F /p system:F
    cscript.exe /h:wscript
    
    

    BB

    14. března 2012 11:59
  • To vypadá zajímavě, rozhodně to zkusím. Jenom jsem doufal, že to jde řešit pomocí GPO. Děkuji za tip.
    14. března 2012 13:44
  • Dobrý den,

    i kdyby existovalo řešení přes GPO, bylo by neúčinné. Jak píšeš, uživatelé jsou lokální administrátoři, a jako takoví mohou změnit jakoukoliv politiku na lokálním počítači.

    Nestačilo by jim dát Power Users práva?


    JCH

    14. března 2012 16:09
  • Rukou neumelou jsem mysi nakreslil cestu posuvnikem dolu a vyznacil reseni:

    15. března 2012 7:46
  • Statut lokálního administátora je bohužel konstanta, která je u nás neměnná. Tudy cesta nevede, a bohužel ani nemá smysl o tom diskutovat. Pokud by ale byla ta možnost změny domény zablokovaná, uživatel si ji sice může otevřít, ale to už musí vědět jak na to, a nemůže se vymlouvat na to, že to udělal omylem atd. Škoda, že v GPO nic není. Jinak jsem se podíval na ten skript nahoře od pana Bijecka, ale myslím, že tam ještě něco chybí. Zatím z toho moc chytrý nejsem.
    15. března 2012 7:46
  • Nevím, jestli jsem to pochopil správně, ale řekl bych, že člověk, který spravuje server ví jak používat posuvník okna. Nicméně zkusím to s tím skryptem ještě jednou, jestli jsem něco špatně neopsal apod.
    15. března 2012 8:06
  • Myslim, ze tu nejde o to se prezentovat, ale najit reseni. Pokud se Vam nepodarilo najit skript, mohlo se Vam stat to, co se stalo kdysi mne, ze mne odradila hlaska o jakemsi prispevku do pokladny provozovatele ;-) Protoze Vam na prsty nevidim a popis nebyva vzdy uplny, musite "vydrzet" obcas i moje jednoduche otazky a zobrazeni postupu, ktere Vam mohou byt zrejme, ale ja nemam jistotu, zda tomu tak je.
    15. března 2012 8:20
  • Spis bych ten script zjednodusil - proc pouzivat windows scripting host?

    Vytvor si (pokud nemas) extra domenovou skupinu do ktere zahrnes uzivatele, kterym chces odebrat pristup ke zminovane zalozce/funkci. Do startup scriptu pocitacu v prislusne OU jim pak zakaz (DENY) pristup:

       cacls %SystemRoot%\system32\netid.dll /d domena\vysezminenaskupina

    MP



    15. března 2012 8:46
  • Děkuji za tip. Vyzkoušel jsem to, tentokrát ale na Windows XP - zde už to šlo lépe. Problém totiž byl v tom, že CACLS není oficiálně podporovaný ve Windows 7 - používá se ICACLS. S tím se ale nějak poperu - to už je jenom otázka času. Tipuji, že wscript byl použitý proto, že jinak by cacls vyžadoval interakci od uživatele (Y/N). Vyzkoučím to ještě pomocí GPO a uvidíme. Každopádně jste mi ukázali cestu, a děkuji Vám. I když mě skutečně mrzí, že MS nemá klasický nástroj v GPO.


    PS: nebylo by jednodušší ten soubor netid.dll jenom přejmenovat?
    15. března 2012 10:41
  • nebylo by jednodušší ten soubor netid.dll jenom přejmenovat?

    Nebylo, protoze "Windows File Protection".


    BB

    15. března 2012 12:22