none
Omezení přístupu admin skupin ke složkám na serveru

    Dotaz

  • DDV, potrebuju poradit s nastavenim NTFS prav pro pristup ke sdilenym slozkam.

    U zakaznika chteji, abych mel dva admin ucty. Jeden ucet ktery obcas pouziju pri udrzbe stanic (instalace SW, nastaveni, atd...) kde jsem fyzicky u stanice pritomen. Tento ucet nema mit pristup ke sdilenym slozkam (jedna se hlavne o slozku Vedeni firmy), protoze zamestnanci mi muzou videt pod prsty, heslo uhadnout a dostat se do slozky Vedeni.
    Druhy admin ucet bych pouzival pouze pro vzdalenou spravu, kde sance na uhadnuti hesla by mela byt minimalni. Tento ucet by mel klasicky Full pristup do sdilenych slozek.

    Nez hybat s admin skupinami (Administrators, Domain Admins) bych radeji prvnimu admin uctu odeprel pristup ke slozce Vedeni. A pro pripad udrzby slozky bych jako vlastnika slozky zvolil skupinu Vedeni.

    Nebo to lze osetrit i jinak?

    DC SBS 2011 Standard + SP1. Stanice v domene s XP + Win7.

    Diky.

    24. března 2014 19:10

Odpovědi

  • 1. Deny pro prvniho administratora na adresarich vedeni je spravna volba, ktera prebije ostatni nastaveni.

    2. Pokud se nepredvedete pred zamestnanci jako druhy administrator a nekdo nehackne heslo na vzdalenem pocitaci (nebo cestou k nemu), tak by to mohlo fungovat.

    M.

    • Označen jako odpověď J.Urbanik 25. března 2014 9:15
    24. března 2014 20:58
    Moderátor
  • Na nektere slozky je vhodne nastavit auditovani a to občas zkouknout - zda se, ze je to i tvůj pripad

    MP

    • Označen jako odpověď J.Urbanik 25. března 2014 9:15
    24. března 2014 23:00
    Moderátor
  • podle mne jednodušším řešením by mohlo být pro první případ účtu použít obyčejný účet s právy user a přiřazením local admin práv na všechny stanice ... tím pádem ten účet bude moci být opravdu použít jen pro servisování stanic a ani případné zneužití účtu neumožní způsobení větších škod ... (a nebude mít přístup nikam do sítě pokud to nenastavíš).

    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.

    • Označen jako odpověď J.Urbanik 26. března 2014 13:24
    26. března 2014 2:18

Všechny reakce

  • 1. Deny pro prvniho administratora na adresarich vedeni je spravna volba, ktera prebije ostatni nastaveni.

    2. Pokud se nepredvedete pred zamestnanci jako druhy administrator a nekdo nehackne heslo na vzdalenem pocitaci (nebo cestou k nemu), tak by to mohlo fungovat.

    M.

    • Označen jako odpověď J.Urbanik 25. března 2014 9:15
    24. března 2014 20:58
    Moderátor
  • PS: A docela zdrave (a malo pouzivane, pokud neni vynucene) opatreni je zmena hesla. Plati to i pro heslo administratora.

    M.

    24. března 2014 21:02
    Moderátor
  • Na nektere slozky je vhodne nastavit auditovani a to občas zkouknout - zda se, ze je to i tvůj pripad

    MP

    • Označen jako odpověď J.Urbanik 25. března 2014 9:15
    24. března 2014 23:00
    Moderátor
  • OK, to mi staci, diky obema.
    25. března 2014 9:16
  • podle mne jednodušším řešením by mohlo být pro první případ účtu použít obyčejný účet s právy user a přiřazením local admin práv na všechny stanice ... tím pádem ten účet bude moci být opravdu použít jen pro servisování stanic a ani případné zneužití účtu neumožní způsobení větších škod ... (a nebude mít přístup nikam do sítě pokud to nenastavíš).

    Michal Zobec | IT Consultant, Lightning Group Company | Michal Zobec Blog | Virtuální PC Blog | Můj profil na LinkedIn
    V případě, že se vám zdají moje příspěvky užitečné, označte je prosím.
    Pokud vám moje příspěvky poskytly řešení vašeho problému, označte je jako odpovědi.

    • Označen jako odpověď J.Urbanik 26. března 2014 13:24
    26. března 2014 2:18
  • Taky moznost, diky za tip.
    26. března 2014 13:24