none
Доступ только на чтение к консоли Routing and Remote Access RRS feed

  • Вопрос

  • Доброе время суток!
    Возможно ли такое в Windows Server 2003? Некоторым пользователям требуется доступ к консоли РАСа для чтения, держать их в локальных администраторах глупо, способов это обойти я не нашел.
    Спасибо.

Ответы

  • Во-первых, можно придумать вариант, что консоль RRAS будет запускаться для таких пользователей в контексте локального администратора, причем пользователи не будут вводить пароль локального администратора. Правда, тогда они будут иметь доступ к консоли RRAS не только на чтение, но и на изменение.

    Но в общем случае, для того чтобы получать какую-либо информацию о состоянии сервиса, вовсе не обязательно иметь доступ к административным инструментам этого сервиса. Вся такая информация может быть получена с помощью специально разработанных скриптов, утилит, анализа журнала событий... Посмотрите на вашу задачу с этой стороны и вы, несомненно, найдете подходящее решение без предоставления пользователям административных консолей.
    • Помечено в качестве ответа Serge Rogozin 7 мая 2009 г. 14:12
    Модератор
  • а почему бы не воспользоваться возможность журналивания.. (Remote Access Logging).. Лог-файл, Сиквел.. после этого запросами.. либо парсить и выводить..
    mcp, mcdba, mcsa, mcse, ccna
    • Помечено в качестве ответа Serge Rogozin 7 мая 2009 г. 14:09

Все ответы

  • Во-первых, можно придумать вариант, что консоль RRAS будет запускаться для таких пользователей в контексте локального администратора, причем пользователи не будут вводить пароль локального администратора. Правда, тогда они будут иметь доступ к консоли RRAS не только на чтение, но и на изменение.

    Но в общем случае, для того чтобы получать какую-либо информацию о состоянии сервиса, вовсе не обязательно иметь доступ к административным инструментам этого сервиса. Вся такая информация может быть получена с помощью специально разработанных скриптов, утилит, анализа журнала событий... Посмотрите на вашу задачу с этой стороны и вы, несомненно, найдете подходящее решение без предоставления пользователям административных консолей.
    • Помечено в качестве ответа Serge Rogozin 7 мая 2009 г. 14:12
    Модератор
  • Во-первых, можно придумать вариант, что консоль RRAS будет запускаться для таких пользователей в контексте локального администратора, причем пользователи не будут вводить пароль локального администратора. Правда, тогда они будут иметь доступ к консоли RRAS не только на чтение, но и на изменение.

    Но в общем случае, для того чтобы получать какую-либо информацию о состоянии сервиса, вовсе не обязательно иметь доступ к административным инструментам этого сервиса. Вся такая информация может быть получена с помощью специально разработанных скриптов, утилит, анализа журнала событий... Посмотрите на вашу задачу с этой стороны и вы, несомненно, найдете подходящее решение без предоставления пользователям административных консолей.
    Задача как раз в том, чтобы пользователи могли просматривать рас, конкретно - статус клиентов, и не могли менять настройки самого раса. Сервис тут как бы непричем.
  • Здесь действительно можно предлагать много вариантов. Например, выведите данное окно консоли RRAS на экран и дайте удаленный доступ только на чтение к этому экрану. Посмотрите еще netsh:

    netsh -r <Server> ras show client

    (возможно, не работает, проверить сейчас нет возможности).
    Модератор
  • Я думаю надо посмотреть RRAS API на MSDN http://msdn.microsoft.com/en-us/library/aa373687(VS.85).aspx
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    Модератор
  • Здесь действительно можно предлагать много вариантов. Например, выведите данное окно консоли RRAS на экран и дайте удаленный доступ только на чтение к этому экрану. Посмотрите еще netsh:

    netsh -r <Server> ras show client

    (возможно, не работает, проверить сейчас нет возможности).
    Данная конструкция не показывает IP адреса, а это основное требование
  • Я думаю надо посмотреть RRAS API на MSDN http://msdn.microsoft.com/en-us/library/aa373687(VS.85).aspx
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    Хотелось бы использовать более простой способ, не трогая API
  •  Например, выведите данное окно консоли RRAS на экран и дайте удаленный доступ только на чтение к этому экрану. 
    Хм, интересно. Спасибо, попробую. 2003 сервер точно так умеет?
  • Штатными средствами это можно сделать через Remote Assistance (правда, в очень нестандартной настройке - без одобрения удаленных подключений). Но можно установить, например, RealVNC, это бесплатно и просто.

    Модератор
  • а почему бы не воспользоваться возможность журналивания.. (Remote Access Logging).. Лог-файл, Сиквел.. после этого запросами.. либо парсить и выводить..
    mcp, mcdba, mcsa, mcse, ccna
    • Помечено в качестве ответа Serge Rogozin 7 мая 2009 г. 14:09
  • а почему бы не воспользоваться возможность журналивания.. (Remote Access Logging).. Лог-файл, Сиквел.. после этого запросами.. либо парсить и выводить..
    Вот с самого начала и пытаюсь объяснить, что именно так и надо делать, а не выводить консоль RRAS. :)
    Модератор
  • ну неявным образом вы говорили об этом, да..

    также предложу автору следующее решение:
    включить более полный режим журналирования в event log (свойства сервера RRAS > вкладка Logging > log all events)
    затем с помощью eventtrigger.exe добавить триггер на событие login'a/logout'a выполнение netsh.exe (как указал osr_) и скидывать результат в файл куда-нибудь на сетевую шару.. на файл дать права на чтение..

    ну или дать им возможность чтения журнала System.. пользователь вроде как может его читать..

    mcp, mcdba, mcsa, mcse, ccna
  • Спасибо всем!
    Принимаю вариант с журналированием, раньше не дошло до меня :)