Přihlásit
 
HlavníKnihovnaCertifikaceDownloadPodporaKomunitaFóra
Zdroje informací pro profesionály v oboru IT >
Jak zabránit uživatelům, aby se odpojili z domény?

Odpovědět Jak zabránit uživatelům, aby se odpojili z domény?

  • 14. března 2012 8:40
     
     
    Přihlásit se a hlasovat
    0

    Zdravím,

    máme tu Active Directory doménu, ve které mají všichni uživatelé admin práva ke svým počítačům - ano, bohužel to tak je a změnit se to u nás nedá. S tím souvisí i můj dotaz. Jeden uživatel si se služebním notebookem pokoušel vytvořit domácí síť, a odpojil se z domény. Dokážete si představit, co se dělo ...

    Existuje nějaká možnost, jak uživatelům technicky zamezit ve změnách domény?

     

Všechny reakce

  • 14. března 2012 8:42
     
     
    Přihlásit se a hlasovat
    1
    Kdo je admin, muze vsechno. Proc musi byt admini?

    BB

     
  • 14. března 2012 9:37
    Moderátor
     
     Odpovědět
    Přihlásit se a hlasovat
    0

    1. V otazce mi chybi zakladni informace o operacnich systemech.

    2. Nekorektni chovani lze omezit administrativnim opatrenim, a to pravidly, ktera zamezuji odpojeni pocitace od domeny. neuposlechniti bude posuzovano jako poruseni pracovnich povinnosti.

    3. Reseni jsem nasel zde (uplne dole)

    http://www.experts-exchange.com/Software/Server_Software/File_Servers/Active_Directory/Q_25853334.html 

    M

    • Označen jako odpověď Jiri Simek 15. března 2012 10:42
    •  
     
  • 14. března 2012 9:54
     
     
    Přihlásit se a hlasovat
    0

    1. Jde o servery 2008 R2, klienti jsou XP pro a Win7 pro

    2. Administrativní opatření mám v záloze jako poslední možnost - většinou totiž není stoprocentně účinná.

    3. mohl byste mi prosím ten odkaz nějak přetlumočit? Nemám tam přístup.

     
  • 14. března 2012 11:59
     
     Odpovědět Obsahuje kód
    Přihlásit se a hlasovat
    0

    To erseni z Experts-Exchange je:

    Hi guys,

    I got a cool solution myself :)

    I create a batch file that only allow full control access to a file called "netid.dll" in the path c:\windows\system32\netid.dll.

    This batch hide the computerName Tab in system properties ... So they can not leave domain or change the computer name :)

    To Hide:

    cscript.exe /h:cscript
xcacls.vbs  %SystemRoot%\system32\netid.dll /P "MyDomain\domain admins":F /p system:F
cscript.exe /h:wscript

    BB

     
  • 14. března 2012 13:44
     
     
    Přihlásit se a hlasovat
    0
    To vypadá zajímavě, rozhodně to zkusím. Jenom jsem doufal, že to jde řešit pomocí GPO. Děkuji za tip.
     
  • 14. března 2012 16:09
     
     Navržená odpověď
    Přihlásit se a hlasovat
    0

    Dobrý den,

    i kdyby existovalo řešení přes GPO, bylo by neúčinné. Jak píšeš, uživatelé jsou lokální administrátoři, a jako takoví mohou změnit jakoukoliv politiku na lokálním počítači.

    Nestačilo by jim dát Power Users práva?

    JCH

     
  • 15. března 2012 7:46
    Moderátor
     
     Navržená odpověď
    Přihlásit se a hlasovat
    0

    Rukou neumelou jsem mysi nakreslil cestu posuvnikem dolu a vyznacil reseni:

     
  • 15. března 2012 7:46
     
     
    Přihlásit se a hlasovat
    0
    Statut lokálního administátora je bohužel konstanta, která je u nás neměnná. Tudy cesta nevede, a bohužel ani nemá smysl o tom diskutovat. Pokud by ale byla ta možnost změny domény zablokovaná, uživatel si ji sice může otevřít, ale to už musí vědět jak na to, a nemůže se vymlouvat na to, že to udělal omylem atd. Škoda, že v GPO nic není. Jinak jsem se podíval na ten skript nahoře od pana Bijecka, ale myslím, že tam ještě něco chybí. Zatím z toho moc chytrý nejsem.
     
  • 15. března 2012 8:06
     
     
    Přihlásit se a hlasovat
    0
    Nevím, jestli jsem to pochopil správně, ale řekl bych, že člověk, který spravuje server ví jak používat posuvník okna. Nicméně zkusím to s tím skryptem ještě jednou, jestli jsem něco špatně neopsal apod.
     
  • 15. března 2012 8:20
    Moderátor
     
     
    Přihlásit se a hlasovat
    0
    Myslim, ze tu nejde o to se prezentovat, ale najit reseni. Pokud se Vam nepodarilo najit skript, mohlo se Vam stat to, co se stalo kdysi mne, ze mne odradila hlaska o jakemsi prispevku do pokladny provozovatele ;-) Protoze Vam na prsty nevidim a popis nebyva vzdy uplny, musite "vydrzet" obcas i moje jednoduche otazky a zobrazeni postupu, ktere Vam mohou byt zrejme, ale ja nemam jistotu, zda tomu tak je.
     
  • 15. března 2012 8:46
    Moderátor
     
     Odpovědět
    Přihlásit se a hlasovat
    0

    Spis bych ten script zjednodusil - proc pouzivat windows scripting host?

    Vytvor si (pokud nemas) extra domenovou skupinu do ktere zahrnes uzivatele, kterym chces odebrat pristup ke zminovane zalozce/funkci. Do startup scriptu pocitacu v prislusne OU jim pak zakaz (DENY) pristup:

       cacls %SystemRoot%\system32\netid.dll /d domena\vysezminenaskupina

    MP



     
  • 15. března 2012 10:41
     
     
    Přihlásit se a hlasovat
    0

    Děkuji za tip. Vyzkoušel jsem to, tentokrát ale na Windows XP - zde už to šlo lépe. Problém totiž byl v tom, že CACLS není oficiálně podporovaný ve Windows 7 - používá se ICACLS. S tím se ale nějak poperu - to už je jenom otázka času. Tipuji, že wscript byl použitý proto, že jinak by cacls vyžadoval interakci od uživatele (Y/N). Vyzkoučím to ještě pomocí GPO a uvidíme. Každopádně jste mi ukázali cestu, a děkuji Vám. I když mě skutečně mrzí, že MS nemá klasický nástroj v GPO.


    PS: nebylo by jednodušší ten soubor netid.dll jenom přejmenovat?
     
  • 15. března 2012 12:22
     
     
    Přihlásit se a hlasovat
    0

    nebylo by jednodušší ten soubor netid.dll jenom přejmenovat?

    Nebylo, protoze "Windows File Protection".

    BB