none
Дефолтные разрешения NTFS для системных разделов Terminal Server (2003) и XP RRS feed

  • Общие обсуждения

  • Как вы считаете, имеет смысл ужесточить дефолтные разрешения NTFS на корень системного раздела, например, для сервера терминалов (SRV 2003 SP2 Terminal Services) и для пользовательских рабочих станций (XP Pro SP3)?

     

    Предлагаю рассмотреть вариант (корень системного раздела Permissions):

     

    Administrators - Full Control,

    Authenticated Users = Read and Execute,

    System = Full Control.

     

    Что думаете?

    Интересно, для чего, например, группе "Users" предоставлены такие широкие полномочия на корень, по-дефолту?

    18 ноября 2008 г. 10:36

Все ответы

  •  Andrey Kh. написано:

    Как вы считаете, имеет смысл ужесточить дефолтные разрешения NTFS на корень системного раздела, например, для сервера терминалов (SRV 2003 SP2 Terminal Services) и для пользовательских рабочих станций (XP Pro SP3)?

     

    Предлагаю рассмотреть вариант (корень системного раздела Permissions):

     

    Administrators - Full Control,

    Authenticated Users = Read and Execute,

    System = Full Control.

     

    Что думаете?

    Интересно, для чего, например, группе "Users" предоставлены такие широкие полномочия на корень, по-дефолту?



    Проще скрывать диски групповыми политиками.
    18 ноября 2008 г. 10:44
  • Скрываются.

    Обходится.

    Недостаточно иногда.

    Спасибо!

    Вопрос немного не о том, чтобы "скрыть открытую дверь".

     

    18 ноября 2008 г. 11:05
  •  Andrey Kh. написано:

    Скрываются.

    Обходится.

    Недостаточно иногда.

    Спасибо!

    Вопрос немного не о том, чтобы "скрыть открытую дверь".

     



    Не совсем понятно что Вас смущает ?

    О каких именно "широких полномочиях" идёт речь ?
    18 ноября 2008 г. 11:21
  • Речь о необходимости дефолтных полномочий локальной группы "Users", например, в контексте сабжа, как и написано.

    Поверьте, некоторые возможные деструктивные следствия (данных полномочий) не оставляют сомнений в целесообразности вопроса.

    Если Вы не согласны с этим, то не хотелось бы переходить в формат неконструктивного оффтопа.

    18 ноября 2008 г. 12:22
  •  Andrey Kh. написано:

    Речь о необходимости дефолтных полномочий локальной группы "Users", например, в контексте сабжа, как и написано.

    Поверьте, некоторые возможные деструктивные следствия (данных полномочий) не оставляют сомнений в целесообразности вопроса.

    Если Вы не согласны с этим, то не хотелось бы переходить в формат неконструктивного оффтопа.



    Что-то в последнее время мне везёт на таких продвинутых как Вы товарищей (http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=4122742&SiteID=40)

    -)

    Честно говоря так и не понял о каких рарешениях идёт речь.

    Можете запретить пользоваться локальными дисками при помощи локальной политики по адресу

    User Configuration\Administrative Templates\Windows Components\Windows Explorer (prevent access to drives from My computer)

    О том, как исключить из действия данной локальной политики администраторов читайте тут
    18 ноября 2008 г. 12:36
  • Жжете, Уважаемый!

    Что Вы не поняли в "NTFS-разрешениях системного раздела терминального сервера": слово "разрешения" или "NTFS" или "системный раздел" ?

    Что же Вы мне все пытаетесь рассказать о том как скрыть из проводника диски с помощью GPO - это ответ не на мой вопрос, здесь как раз никаких вопросов ни у кого не возникнет 

    18 ноября 2008 г. 12:46
  •  Andrey Kh. написано:

    Жжете, Уважаемый!

    Что Вы не поняли в "NTFS-разрешениях системного раздела терминального сервера": слово "разрешения" или "NTFS" или "системный раздел" ?

    Что же Вы мне все пытаетесь рассказать о том как скрыть из проводника диски с помощью GPO - это ответ не на мой вопрос, здесь как раз никаких вопросов ни у кого не возникнет 



    Prevent - переводится как "предотвращать", а не скрывать -  это раз.

    Терминальный ли это сервер, сервер приложений или почтовый сервер - разницы никакой нет - это два.

    Вы объясните какие именно - Read&Execute, Write права смущают ?

    Чего хотите добиться в конечно итоге ?

    Данный сервер не является контроллером домена ? - это три.

    -)
    18 ноября 2008 г. 12:54
  • Имеет смысл. Так и делаю.

    Только: Users = Read and Execute (This folder only) - локальные пользователи.

    Кажется еще на "Program files" надо "Read and Execute" с наследованием.

    Точно не помню т.к. быстро смотрится при запуске.

    18 ноября 2008 г. 13:03
  • cognize@ ,

    во-первых, то о чем Вы пишите - это лишь предотвращает=скрывает, поверьте.

    Если не верите - проверьте.

    Не более, причем скрывает (подчеркиваю, именно скрывает) лишь очень условно, обходится просто при небольшой сообразительности.

    Во-вторых, разница между терминальным и почтовым сервером есть именно в сути предоставляемых ими сервисов и в том как с ними работают пользователи. Из этого, надеюсь, Вы флуд не разведете?  Для почтового сервера мой вопрос не актуален, почти.

    В-третьих, если Вам нечего сказать по теме, то лучше промолчать и не пускаться в оффтоп все более и более с каждым постом, Вы так не думаете?

     

    18 ноября 2008 г. 13:18
  •  Andrey Kh. написано:

    cognize@ ,

    во-первых, то о чем Вы пишите - это лишь предотвращает=скрывает, поверьте.

    Если не верите - проверьте.

    Не более, причем скрывает (подчеркиваю, именно скрывает) лишь очень условно, обходится просто при небольшой сообразительности.

    Во-вторых, разница между терминальным и почтовым сервером есть именно в сути предоставляемых ими сервисов и в том как с ними работают пользователи. Из этого, надеюсь, Вы флуд не разведете?  Для почтового сервера мой вопрос не актуален, почти.

    В-третьих, если Вам нечего сказать по теме, то лучше промолчать и не пускаться в оффтоп все более и более с каждым постом, Вы так не думаете?

     



    Странно - на офсайте другое написано

    "
    Конфигурация пользователя\Шаблоны администраторов\Компоненты Windows\Проводник Windows]
    Запретить доступ к дискам через Мой компьютер (выполнить для дисков с A по D включительно.)
    "

    Мы говорим о разрешениях на раздел - поэтому разницы в выполняемых ролях сервера (за исключением AD) нет.
    18 ноября 2008 г. 13:26
  •  wewerty написано:

    Имеет смысл. Так и делаю.

    Только: Users = Read and Execute (This folder only) - локальные пользователи.

    Кажется еще на "Program files" надо "Read and Execute" с наследованием.

    Точно не помню т.к. быстро смотрится при запуске.

    Спасибо, да, согласен, на "Program Files" тоже не лишним, думаю, будет.

    18 ноября 2008 г. 13:50
  •  cognize@ написано:

    Странно - на офсайте другое написано

    "
    Конфигурация пользователя\Шаблоны администраторов\Компоненты Windows\Проводник Windows]
    Запретить доступ к дискам через Мой компьютер (выполнить для дисков с A по D включительно.)
    "

    Мы говорим о разрешениях на раздел - поэтому разницы в выполняемых ролях сервера (за исключением AD) нет.

     

    Этого недостаточно в полной мере, поверьте. NTFS-пермишены к разделу это не отменяет.

    Вопрос несколько в другом, и именно он меня интересует. С предлагаемым Вами я знаком.

    18 ноября 2008 г. 14:07