Remove From My Forums

Дефолтные разрешения NTFS для системных разделов Terminal Server (2003) и XP

Общие обсуждения
0

Нужно войти
Как вы считаете, имеет смысл ужесточить дефолтные разрешения NTFS на корень системного раздела, например, для сервера терминалов (SRV 2003 SP2 Terminal Services) и для пользовательских рабочих станций (XP Pro SP3)?

Предлагаю рассмотреть вариант (корень системного раздела Permissions):

Administrators - Full Control,

Authenticated Users = Read and Execute,

System = Full Control.

Что думаете?

Интересно, для чего, например, группе "Users" предоставлены такие широкие полномочия на корень, по-дефолту?
- Изменен тип ILYA [ sie ] SazonovModerator 6 декабря 2010 г. 16:09
18 ноября 2008 г. 10:36

Ответить

|

Цитировать

Все ответы

Нужно войти

Andrey Kh. написано:

Как вы считаете, имеет смысл ужесточить дефолтные разрешения NTFS на корень системного раздела, например, для сервера терминалов (SRV 2003 SP2 Terminal Services) и для пользовательских рабочих станций (XP Pro SP3)?

Предлагаю рассмотреть вариант (корень системного раздела Permissions):

Administrators - Full Control,

Authenticated Users = Read and Execute,

System = Full Control.

Что думаете?

Интересно, для чего, например, группе "Users" предоставлены такие широкие полномочия на корень, по-дефолту?

Проще скрывать диски групповыми политиками.

18 ноября 2008 г. 10:44

Нужно войти

Скрываются.

Обходится.

Недостаточно иногда.

Спасибо!

Вопрос немного не о том, чтобы "скрыть открытую дверь".

18 ноября 2008 г. 11:05

Нужно войти

Andrey Kh. написано:

Скрываются.

Обходится.

Недостаточно иногда.

Спасибо!

Вопрос немного не о том, чтобы "скрыть открытую дверь".

Не совсем понятно что Вас смущает ?

О каких именно "широких полномочиях" идёт речь ?

18 ноября 2008 г. 11:21

Нужно войти

Речь о необходимости дефолтных полномочий локальной группы "Users", например, в контексте сабжа, как и написано.

Поверьте, некоторые возможные деструктивные следствия (данных полномочий) не оставляют сомнений в целесообразности вопроса.

Если Вы не согласны с этим, то не хотелось бы переходить в формат неконструктивного оффтопа.

18 ноября 2008 г. 12:22

Нужно войти

Andrey Kh. написано:

Речь о необходимости дефолтных полномочий локальной группы "Users", например, в контексте сабжа, как и написано.

Если Вы не согласны с этим, то не хотелось бы переходить в формат неконструктивного оффтопа.

Что-то в последнее время мне везёт на таких продвинутых как Вы товарищей (http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=4122742&SiteID=40)

-)

Честно говоря так и не понял о каких рарешениях идёт речь.

Можете запретить пользоваться локальными дисками при помощи локальной политики по адресу

User Configuration\Administrative Templates\Windows Components\Windows Explorer (prevent access to drives from My computer)

О том, как исключить из действия данной локальной политики администраторов читайте тут

18 ноября 2008 г. 12:36

Нужно войти

Жжете, Уважаемый!

Что Вы не поняли в "NTFS-разрешениях системного раздела терминального сервера": слово "разрешения" или "NTFS" или "системный раздел" ?

Что же Вы мне все пытаетесь рассказать о том как скрыть из проводника диски с помощью GPO - это ответ не на мой вопрос, здесь как раз никаких вопросов ни у кого не возникнет

18 ноября 2008 г. 12:46

Нужно войти

Andrey Kh. написано:

Жжете, Уважаемый!

Prevent - переводится как "предотвращать", а не скрывать - это раз.

Терминальный ли это сервер, сервер приложений или почтовый сервер - разницы никакой нет - это два.

Вы объясните какие именно - Read&Execute, Write права смущают ?

Чего хотите добиться в конечно итоге ?

Данный сервер не является контроллером домена ? - это три.

-)

18 ноября 2008 г. 12:54

Нужно войти

Имеет смысл. Так и делаю.

Только: Users = Read and Execute (This folder only) - локальные пользователи.

Кажется еще на "Program files" надо "Read and Execute" с наследованием.

Точно не помню т.к. быстро смотрится при запуске.

18 ноября 2008 г. 13:03

Нужно войти

cognize@ ,

во-первых, то о чем Вы пишите - это лишь предотвращает=скрывает, поверьте.

Если не верите - проверьте.

Не более, причем скрывает (подчеркиваю, именно скрывает) лишь очень условно, обходится просто при небольшой сообразительности.

Во-вторых, разница между терминальным и почтовым сервером есть именно в сути предоставляемых ими сервисов и в том как с ними работают пользователи. Из этого, надеюсь, Вы флуд не разведете? Для почтового сервера мой вопрос не актуален, почти.

В-третьих, если Вам нечего сказать по теме, то лучше промолчать и не пускаться в оффтоп все более и более с каждым постом, Вы так не думаете?

18 ноября 2008 г. 13:18

Нужно войти

Andrey Kh. написано:

cognize@ ,

во-первых, то о чем Вы пишите - это лишь предотвращает=скрывает, поверьте.

Если не верите - проверьте.

Странно - на офсайте другое написано

"
Конфигурация пользователя\Шаблоны администраторов\Компоненты Windows\Проводник Windows]
Запретить доступ к дискам через Мой компьютер (выполнить для дисков с A по D включительно.)
"

Мы говорим о разрешениях на раздел - поэтому разницы в выполняемых ролях сервера (за исключением AD) нет.

18 ноября 2008 г. 13:26

Нужно войти

wewerty написано:

Имеет смысл. Так и делаю.

Только: Users = Read and Execute (This folder only) - локальные пользователи.

Кажется еще на "Program files" надо "Read and Execute" с наследованием.

Точно не помню т.к. быстро смотрится при запуске.

Спасибо, да, согласен, на "Program Files" тоже не лишним, думаю, будет.

18 ноября 2008 г. 13:50

Нужно войти

cognize@ написано:

Этого недостаточно в полной мере, поверьте. NTFS-пермишены к разделу это не отменяет.

Вопрос несколько в другом, и именно он меня интересует. С предлагаемым Вами я знаком.

18 ноября 2008 г. 14:07

Продукты

Resources

Solutions

Обновления

Пробные версии

Сайты по теме

Обучение

Сертификация

Другие материалы и ссылки

Продукты

Другие ссылки

Не специалист по ИТ?

Спрашивающий

Дефолтные разрешения NTFS для системных разделов Terminal Server (2003) и XP

Общие обсуждения

Все ответы