none
Вопрос по паролям пользователей RRS feed

  • Вопрос

  • У меня Exchange Server 2003 на Windows 2003.
    Для создани почтового ящика пользователя созадю пользователя в AD, создаю почтовый ящик. Теперь для доступа пользоватлея к почтовму ящику по протоколу POP3 он вводит долменные пароль учетной записи и логин и получает доступ. Соответственно получается, что пароль в домене и Echange одинаковые. Это так и олжно быть или же можно нразначить разные пароли?
    Как быть с ситуацией, если мне требуется создать почтовый ящик, но не нужно давать этому пользователю доступ в домен и к сететвым ресурсам?

    Спасибо.

    • Перемещено Tina_Tian 18 марта 2012 г. 8:39 forum merge (От:Exchange Server 2003/2000/5.5)
    27 декабря 2009 г. 15:54

Ответы

  • Exch не ведет самостоятельно базу пользователей


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    • Предложено в качестве ответа Vinokurov Yuriy 29 декабря 2009 г. 10:06
    • Помечено в качестве ответа Goblany 29 декабря 2009 г. 11:43
    28 декабря 2009 г. 14:01
  • создается отдельная группа
    в политике прописывается - отказать в локальном входе

    результат - логинится на рабочие станции они не могут

    вариант №2 изощренный
    в настройках пользователя прописываем право логина только с определенного ПК

    вариант №3 совсем извращенный
    создаем отдельный почтовый домен на основе вин 2003 с установленным POP3 сервером
    и ведем на нем пользователей локально
    blog.wadmin.ru
    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:34
    11 января 2010 г. 13:45
  • в политиках домена есть раздел безопасности, вот там и настраивается

    в политиках компьютера прописываются следующие параметры



    Отказывать в доступе к компьютеру из сети

    Этот параметр безопасности определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику "Доступ к компьютеру из сети", если учетная запись пользователя контролируется обеими политиками.

    По умолчанию: "Отсутствует".



    и

    Отклонять локальный вход

    Этот параметр безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику "Локальный вход в систему", если учетная запись пользователя контролируется обеими политиками.

    По умолчанию: "Отсутствует".

    Внимание!
    Применение этой политики безопасности к группе "Все" сделает невозможным локальный вход в систему.



    вот и рядом есть еще несколько подобных параметров, посмотри, проблемм нету
    • Предложено в качестве ответа zero55 11 января 2010 г. 14:49
    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:34
    11 января 2010 г. 14:40
  • Да, так и надо.
    В результате локально не войдет, но надо и запретить вход по сети.

    только протестируй для начала на левом пользователе.
    Возможно, стоит добавить эту группу в группу "гости" для домена, хотя это, скорее всего, и не обязательно.

    А доступа до сетевых расшареных ресурсов у группы не будет, если явно не указать ее где-то

    так что, может хватить и только запрета локального доступа

    Конкретно эту задачу я не решал, но другого пути я не вижу.

    Да, если не запретить сетевой вход, то группа получит доступ до ресурсов, куда имеет доступ группа "все пользователи".


    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:33
    11 января 2010 г. 15:22

Все ответы

  • Может у кого есть ссылка на литературу почитать?
    28 декабря 2009 г. 7:28
  • Exch не ведет самостоятельно базу пользователей


    Exchange MVP. _ This posting is provided "AS IS" with no warranties, and confers no rights.
    • Предложено в качестве ответа Vinokurov Yuriy 29 декабря 2009 г. 10:06
    • Помечено в качестве ответа Goblany 29 декабря 2009 г. 11:43
    28 декабря 2009 г. 14:01
  • Ваша задача решается не различными паролями (как справедливо сказали выше Exchange не ведет собственной базы пользователей) а донастройкой ресурсов, т.е. назначение дополнительных NTFS разрешений.

    Если пользователю необходимо использовать ящик и на общих папках у вас назначено Domain Users - read то
    1. создаете группу условно Users without access to FileServers
    2. включаете в нее необходимых пользователей
    3. на шаре назначаете Deny для группы


    blog.wadmin.ru
    4 января 2010 г. 11:57
  • Но пользователи то смогут войти в домен в мой???? Т.е.сесть за уомпьютер и залогинеться?
    11 января 2010 г. 13:08
  • смогут.

    задача у вас какая?
    blog.wadmin.ru
    11 января 2010 г. 13:09
  • Здача - чтобы у пользователя был ящик почтовый (POP-3 соединение), но в домен его не пускать. Т.е. чтобы он не мог залогинеться в моей сети.

    т.е. ящик есть почтовый, а доступа никуда к ресурсам сети нет.
    11 января 2010 г. 13:11
  • Добавить этих пользователей в отдельную группу доступа и сказать в АД, что им запрещено логиниться по сети, а разрешить только почтовые ящики на Exchange
    11 января 2010 г. 13:24
  • Это делается в настройках учетной записи пользователей?
    11 января 2010 г. 13:37
  • Да, сначала создается группа доступа, потом в политиках AD, говорится что данная группа не имеет права на доступ из сети, все особые пользователи получают ее в дополнение к группе пользователей сети.
    У Майкрософта запрет имеет приоритет над разрешением, поэтому если у тебя есть для этой группы доступ до Exchange, то они будут видеть свои почтовые ящики, а сети не будут видеть при этих параметрах (хотя я бы разрешил им только POP3/SMTP доступ, нехай только так почту забирают).

    11 января 2010 г. 13:44
  • создается отдельная группа
    в политике прописывается - отказать в локальном входе

    результат - логинится на рабочие станции они не могут

    вариант №2 изощренный
    в настройках пользователя прописываем право логина только с определенного ПК

    вариант №3 совсем извращенный
    создаем отдельный почтовый домен на основе вин 2003 с установленным POP3 сервером
    и ведем на нем пользователей локально
    blog.wadmin.ru
    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:34
    11 января 2010 г. 13:45
  • Т.е. создать какое-то подразделение, в нем создать группу. В эту группу запихнуть нужных. Для этого подразделения создать групповую политику, в которой указываем параметр "отказать в локальном входе".

    Я все парвильно опнял?
    11 января 2010 г. 13:57
  • Ну можно и OU создать, хотя не обязательно, достаточно поместить этих пользователей в security group и ей, как сказал zero55 и я, запретить локальный вход на компьютеры через политику безопасности домена
    11 января 2010 г. 14:04
  • я, запретить локальный вход на компьютеры через политику безопасности домена

    Немного не понял, как это делается. Как именно запретить локальный вход? Где эти настройки для группы? Чт за политика безопасности?
    11 января 2010 г. 14:20
  • в политиках домена есть раздел безопасности, вот там и настраивается

    в политиках компьютера прописываются следующие параметры



    Отказывать в доступе к компьютеру из сети

    Этот параметр безопасности определяет, каким пользователям запрещается доступ к данному компьютеру через сеть. Эта политика отменяет политику "Доступ к компьютеру из сети", если учетная запись пользователя контролируется обеими политиками.

    По умолчанию: "Отсутствует".



    и

    Отклонять локальный вход

    Этот параметр безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику "Локальный вход в систему", если учетная запись пользователя контролируется обеими политиками.

    По умолчанию: "Отсутствует".

    Внимание!
    Применение этой политики безопасности к группе "Все" сделает невозможным локальный вход в систему.



    вот и рядом есть еще несколько подобных параметров, посмотри, проблемм нету
    • Предложено в качестве ответа zero55 11 января 2010 г. 14:49
    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:34
    11 января 2010 г. 14:40
  • Политика домена - это групповая плитика?

    Ндо там прописывать или  на каждом компьютере?

    11 января 2010 г. 15:06

  • Это групповая политика домена, ее надо прописать на весь домен, чтобы представители конкретной группы доступа не могли никуда залогиниться.



    11 января 2010 г. 15:09
  • Значит мы открываем AD пользотелии компьютеры, берум, например, групповую политику по умолчанию. В жтой групповой политике мы раскрываем узел Конфигю комп-ра-конфигурацуия Windows-параметры безопасности-локальные политики-параметры безопасности.
    Выбираем параметр "Отклонить локальный вход" и в него прописываем ту группу, которой запрещено?
    Я правильно вас понял?
    11 января 2010 г. 15:18
  • Да, так и надо.
    В результате локально не войдет, но надо и запретить вход по сети.

    только протестируй для начала на левом пользователе.
    Возможно, стоит добавить эту группу в группу "гости" для домена, хотя это, скорее всего, и не обязательно.

    А доступа до сетевых расшареных ресурсов у группы не будет, если явно не указать ее где-то

    так что, может хватить и только запрета локального доступа

    Конкретно эту задачу я не решал, но другого пути я не вижу.

    Да, если не запретить сетевой вход, то группа получит доступ до ресурсов, куда имеет доступ группа "все пользователи".


    • Помечено в качестве ответа Goblany 11 января 2010 г. 15:33
    11 января 2010 г. 15:22
  • Да. Вроде пользотель войти не смог. Вроде все сработало.
    Спасибо.
    11 января 2010 г. 15:33