locked
Users and Computers права на просмотр. RRS feed

  • Вопрос

  • Есть домен 2008R2 уровня.

    Когда  обычный пользователь с правами Domain Users устанавливает на свою машину  AdminPak и заходит в оснастку "Active Directory Users and Computers"   он по дефолту может видеть всю структуру домена , папки , сервера , учетки компы и т.д. только для чтения , изменять ничего там не может ,  такая де  ситуация со всем остальным  "Active Directory Sites and Services" и ....

    Почему по дефолту у рядового пользователя есть такие права? Как закрыть это ?

    10 февраля 2012 г. 10:21

Ответы

  • такие права есть у любых аутентифицированных учеток: юзеров, компов и т.д. так должно быть и забирать такие права нельзя.

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 7:00
    10 февраля 2012 г. 10:24
    Модератор
  • Да  все ,  конфигурацию сайтов, иерархию OU, количество DC , серверов , имена   серверов и все тому подобное. Я считаю что ете инфа должна быть внутренней и скрытая от любых  постояронних глаз. 

    А она и так скрытая!!! Для того чтобы хоть что-то увидеть, нужно иметь учетную запись. А если есть учетная запись, то есть права: что-то видеть и что-то изменять. Часть прав предоставляется как необходимый минимум, остальные явным образом.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 7:00
    10 февраля 2012 г. 13:12
    Модератор

Все ответы

  • такие права есть у любых аутентифицированных учеток: юзеров, компов и т.д. так должно быть и забирать такие права нельзя.

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 7:00
    10 февраля 2012 г. 10:24
    Модератор
  • Ну а на ваш взгляд, почему это нужно скрывать? Работая в той или иной организации, пользователь общается с другими сотрудниками, знает, как их зовут, их внутренние номера телефонов, что здесь секретного?

    Существуют ACL, и к сетевым ресурсам пользователь получает доступ только в пределах своих полномочий.

    Можно ли это закрыть? Да, можно, но есть вероятность, что некоторые функции AD будут работать неправильно.

    10 февраля 2012 г. 10:31
    Модератор
  • Как то не правильно это, что каджый пользователь сможет посотреть всю схему и т.д.

    Неужели нет решения для закрытия етого доступа ?

    10 февраля 2012 г. 10:31
  • какую еще схему? иерархию OU? она вообще безполезна и никому не нужна, чисто для красоты сделана, применения политик и делегирования управления.

    закрывать этот доступ не стоит, иначе юзера банально не будут видеть фамилий в acl файлов или папок


    ps неправильно писать "не правильно" ))
    10 февраля 2012 г. 10:42
    Модератор
  • Да  все ,  конфигурацию сайтов, иерархию OU, количество DC , серверов , имена   серверов и все тому подобное. Я считаю что ете инфа должна быть внутренней и скрытая от любых  постояронних глаз. 
    10 февраля 2012 г. 10:52
  • это также легко вытащить из dns. а скрывать контроллеры в принципе нельзя - как юзер залогинится если он контроллеров не увидит?
    10 февраля 2012 г. 11:23
    Модератор
  • Да  все ,  конфигурацию сайтов, иерархию OU, количество DC , серверов , имена   серверов и все тому подобное. Я считаю что ете инфа должна быть внутренней и скрытая от любых  постояронних глаз. 

    А она и так скрытая!!! Для того чтобы хоть что-то увидеть, нужно иметь учетную запись. А если есть учетная запись, то есть права: что-то видеть и что-то изменять. Часть прав предоставляется как необходимый минимум, остальные явным образом.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа offskid 14 февраля 2012 г. 7:00
    10 февраля 2012 г. 13:12
    Модератор