none
Ограничение прав "Пользователи" в сервере терминалов. RRS feed

  • Общие обсуждения

  • Доброго вечера, всем форумчанам!

    Собственно сабж. У пользователей в Win2K3 R2 имеется лишь роль "Пользователи", но при этом они сами могут изменить свой статус или того хуже - добавить роль "Администраторы".

    Как сие досаду исправить.

    Заранее спасибо...

    • Перемещено Vinokurov YuriyModerator 20 июня 2011 г. 7:55 (От:Windows Server 2008 R2)
    • Изменен тип Vinokurov YuriyModerator 24 июня 2011 г. 6:19 давность и отсутствие активности в теме
    17 июня 2011 г. 16:40

Все ответы

  • Покажите вывод команд из под "пользователя"

    whoami /groups

    whoami /priv

    17 июня 2011 г. 17:40
    Отвечающий
  • Уважаемый пользователь

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    22 июня 2011 г. 8:39
    Модератор
  • Извиняюсь за непреднамеренное, при этом длительном отсутствии.

    Вывод команды whoami /groups

    Сведения о группах
    -----------------

    Группа                                 Тип                     SID          Атри
    буты
    ====================================== ======================= ============ ====
    ==========================================================================
    Все                                    Хорошо известная группа S-1-1-0      Обязательная группа, Включены по умолчанию, Включенная группа
    BUILTIN\Пользователи                   Псевдоним               S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа
    BUILTIN\Администраторы                 Псевдоним               S-1-5-32-544 Обязательная группа, Включены по умолчанию, Включенная группа, Владелец группы
    NT AUTHORITY\ИНТЕРАКТИВНЫЕ             Хорошо известная группа S-1-5-4      Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Прошедшие проверку        Хорошо известная группа S-1-5-11     Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Данная организация        Хорошо известная группа S-1-5-15     Обязательная группа, Включены по умолчанию, Включенная группа
    ЛОКАЛЬНЫЕ                              Хорошо известная группа S-1-2-0      Обязательная группа, Включены по умолчанию, Включенная группа
    NT AUTHORITY\Проверка подлинности NTLM Хорошо известная группа S-1-5-64-10  Обязательная группа, Включены по умолчанию, Включенная группа

     

    Вывод команды whoami /priv

    Сведения о привилегиях
    ----------------------

    Имя привилегии                  Описание
     Область, край
    =============================== ================================================
     =============
    SeChangeNotifyPrivilege         Обход перекрестной проверки
     включен
    SeSecurityPrivilege             Управление аудитом и журналом безопасности
     Отключен
    SeBackupPrivilege               Архивирование файлов и каталогов
     Отключен
    SeRestorePrivilege              Восстановление файлов и каталогов
     Отключен
    SeSystemtimePrivilege           Изменение системного времени
     Отключен
    SeShutdownPrivilege             Завершение работы системы
     Отключен
    SeRemoteShutdownPrivilege       Принудительное удаленное завершение
     Отключен
    SeTakeOwnershipPrivilege        Овладение файлами или иными объектами
     Отключен
    SeDebugPrivilege                Отладка программ
     Отключен
    SeSystemEnvironmentPrivilege    Изменение параметров среды оборудования
     Отключен
    SeSystemProfilePrivilege        Профилирование загруженности системы
     Отключен
    SeProfileSingleProcessPrivilege Профилирование одного процесса
     Отключен
    SeIncreaseBasePriorityPrivilege Увеличение приоритета диспетчирования
     Отключен
    SeLoadDriverPrivilege           Загрузка и выгрузка драйверов устройств
     Отключен
    SeCreatePagefilePrivilege       Создание страничного файла
     Отключен
    SeIncreaseQuotaPrivilege        Настройка квот памяти для процесса
     Отключен
    SeUndockPrivilege               Извлечение компьютера из стыковочного узла
     Отключен
    SeManageVolumePrivilege         Запуск операций по обслуживанию тома
     Отключен
    SeImpersonatePrivilege          Олицетворение клиента после проверки подлинности
     включен
    SeCreateGlobalPrivilege         Создание глобальных объектов
     включен

     

    Буду признателен за ответ

    3 июля 2011 г. 16:10
  • Локальный без домена.

    Команда точно выполнена из под user? Cудя по этому нет "BUILTIN\Администраторы"

    А если да то понятно.               

     

     

    3 июля 2011 г. 16:21
  • 1. Да, без домена

    2. Из под юзера, BUILTIN\Администраторы выводит из под любых юзеров. Кстати, я забыл написать что они все терминальные юзеры.

    Заранее спс...

  • Вполне очевидно, что все пользователи являются членами локальной группы Administrators. Покажите снимок консоли Computer Management -> Local Users and Groups -> Groups -> Administrators -> Members
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    Отвечающий
  • бгггггг...

    У вас всё-все-вся администраторы на этом сервере.

    ------

    полагаю так было сделано потому что не смогли нормально настроить доступ для терминальных пользователей?

    по уму в админах должны быть только LA(я так понимаю это переименованная учетка администратора) и ваша



    6 июля 2011 г. 13:12
  • Дак как исправить удалить всех из этой группы.

    Оставить только настоящего админа.

    6 июля 2011 г. 13:22
  • Оставил только админскую запись. Но при запуске некоторых программ, появяется сообщение"Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". На вкладке Безопасность в ProgramsFiles добавлена учеткая запись Пользователи и Пользователи удаленного рабочего стола. Разрешение вплоть до Полного доступа. А ему хоть бы хны.
    10 июля 2011 г. 17:38
  • Сделайте тогда это — http://blog.windowsnt.lv/2011/07/11/configuring-windows-standard-privileges-russian/


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    11 июля 2011 г. 9:37
    Отвечающий
  • Признаюсь - статья очень полезная и информативная. Но в моем случае она успеха не имела, т.к. Image File Name: mmc.exe. При делегировании прав этой Консоле управления, ситуация не меняется: под админиской запускается, при пользовательской ошибка.
    15 июля 2011 г. 17:05
  • Не держите в секрете, что это за консоль и чего вы пытаетесь добиться. Тогда, возможно, кто-то сможет решить проблему.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    18 июля 2011 г. 6:43
    Отвечающий
  • С консолью разобрался. Но проблема остался. Я так думаю что такая ситуация не только у меня. Но суть проста. Есть программки, которые отказываются запускаться при правах "Пользователи", лишь тогда запускаются, когда имеется делегируются админские права.
    19 июля 2011 г. 18:02
  • С помощью указанной статьи или Process Monitor разобраться не получается?


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    20 июля 2011 г. 6:58
    Отвечающий
  • >>Но в моем случае она успеха не имела, т.к. Image File Name: mmc.exe. При делегировании прав этой Консоле управления, ситуация не меняется: под админиской запускается, при пользовательской ошибка.

    Так у Вас MMC.exe не запускается? или какая то остнастка? или м.б. запускается, но не позволяет работать?

    20 июля 2011 г. 9:10