none
AD и защита данных на HDD RRS feed

  • Вопрос

  • Добрый день возник вопрос по эксплуатации AD и средств аппаратной защиты данных а именно (HDD). при введении машины в домен, она работает примерно месяц, после чего пропадает возможность войти в операционную систему конечного пользователя. ругается на несовместимость разрешений... пробовали три разных домена и разные ОС. могли бы подсказать в какой ветке реестра или папке доступной по сети хранятся данные которые домен контроллер обновляет с какой то периодичностью. спасибо
    9 декабря 2013 г. 6:31

Все ответы

  • Добрый день.

    Слишком мало информации, какая аппаратная защита используется. Какая точно ошибка.


    Печенкин Николай

    9 декабря 2013 г. 6:33
  • ошибку на данный момент не могу выложить, т.к. временно разобран домен. пока не найдём решение

    защита стоит Shadow Defender. после перезагрузки возвращается состояние данных на котором я его заблокирую. то есть есть возможность внести зарание изменения и дать разрешения на определённые папки и ветки реестра.

    вопрос по сути в том чтобы понять где и какие папки и ветки реестра меняются при работе в домене

    9 декабря 2013 г. 10:56
  • http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx

    ?

    Добрый день.

    На нашел ответ на вопрос заданный если честно ... Меняется много чего, просто дать служебные папки - Windows например не вариант?


    Печенкин Николай


    • Изменено lokise 9 декабря 2013 г. 12:49
    9 декабря 2013 г. 12:31
  • данных не достаточно, однако мое предположение связано с обновлением пароля клиентского компьютера(НЕ ПОЛЬЗОВАТЕЛЬСКОГО).

    вкратце - веточка HKLM\SECURITY\Policy\Secrets\ должна менятся, или отключите смену пароля для учетки компьютера в политиках(не секурно)

    9 декабря 2013 г. 13:35
  • Добрый день.

    Это скорее только веточка обновления защищенного канала. Все таки предположу что коллеге проще дать на WINDOWS обновление хотя бы.


    Печенкин Николай

    9 декабря 2013 г. 14:09
  • )) ммм.. Можно я промолчу про целесообразность решений и все такое?

    каждый хочет, так -  как хочет!

     я уже давно задрался спрашивать - "а нахузачем вам это"

    ждем инфу от от вопрошающего, чо.

    9 декабря 2013 г. 23:06
  • Добрый день.

    Тут согласен коллега, целесообразность решения аппаратной защиты, которая не знает что такое домен и для этого танцевать с бубном ... на любителя. Вчера полвечера искал подробную инфу, не нашел , ветки реестра зависят от групповых политик например, а что меняется в папке Windows пофолдерно сказать я думаю не представится возможным. Ну а так - крепче нервы - ближе цель :)


    Печенкин Николай

    10 декабря 2013 г. 2:58
  • Ещё раз добрый день всем!

    такую хитрую схему придумал наш ИТ босс...

    или как его не называй) но задача такова, чтобы пользователь наловив вирусни или наделав своих *кри вых настроек* после перезагрузки получил вновь рабочую машину и не важно, поймал он блокиратор или ещё чего... а может просто принтер по умолчанию изменил... в компании много людей кто комьютер видит первый ну или второй раз в жизни(((

    смена паролей на учётках и так отключена

    просто дать доступ на служебные папки виндовс, все без разбора? нет, так не пойдёт... мы боремся за выживание системы, при условии что пользователь ТЫКАЕТ во всё что видит в интернете... и не хочет понимать, как ему не убить компьютер) да и все уже привыкли тут к такому, что сломал, ребутнул и дальше всё ок :)

    сам первый раз такое вижу, но есть в этом чтото приятное :)

    и ещё вопрос, есть решения которые знают что такое домен? где? покажите, оооочень сильно прошу

    10 декабря 2013 г. 5:43
  • Добрый день.

    Приходит в голову обязательный профиль и сетевые подключаемые папки ... но вряд ли это выход. Имхо - бред. То что вы хотите называется точка восстановления запущенная по рассписанию.


    Печенкин Николай

    10 декабря 2013 г. 6:17
  • обязательный профиль? не совсем вас понял..

    точка восстановления по расписанию, если я даже привяжу её к перезагрузке клиентской ОС, она после ребута будет делаться минут 5-25 что не очень удобно и довольно сильно затянет рабочий процесс(

    можно было сделать и перемещаемые профили в домене) но зачем городить..

    когда стоит задача разобраться именно в данной связке, причём половина ПК на ХР..

    с вин 7 всё проще, там можно ветки реестра указывать

    люди добрые помогите! как сделать чтобы пользователь не мог испортить комп и при этом оставался почти свободен в своих действиях, будь то установка ПО или пойманый вирус, после ребута нужна чистая ОС

    10 декабря 2013 г. 9:34
  • Добрый день.

    ИМХО - как сделать чтобы у пользователя были практически все права и он ничего не мог испортить - никак. Если коллеги подскажут - буду рад.


    Печенкин Николай

    10 декабря 2013 г. 9:45
  • Dude, имхо ты путаешь права(rights) и разрешения(permissions).

    именно права пользователю не нужны с точки зрения непрерывности бизнеса. даже я себе не такого не позволяю :)). (судо наше все)

    "Вчера полвечера искал подробную инфу" - Бггг, все дороги приводят в РиMSDN

    ----

    EAPolyakov, опишите пожалуйста примерное состояние вашей системы и что в итоге вы(или директор) хотите получить?

    у меня складывается впечатление что вы бродите в потемках, так ли это? Это выглядит как попытка починки спицы у пятиколестого велосипеда на дровах.

    прекращайте плодить костыли, задайте вопрос целиком - научим чо уж. мне, например, не жалко и думаю большинству отвечающих тоже

    10 декабря 2013 г. 11:22
  • Спасибо за конструктивный подход!

    директор хочет, чтобы после перезагрузки, как бы пользователь не извращался, загружалась ОС в первозданном(настроенном\рабочем) виде... даже при условии что она поймал вирус или просто настройки понаделал :)

    по сути задача в том, что бы пользователь находился в АД(необходимо для работы спец приложения с БД которая получает юзеров из АД) и при этом по нажатии кнопки резет у него вновь появлялась ОС в работоспособном виде, но он мог поставить себе ПО которое мной не было установлено и возможно понадобиться ему всего один раз

    состояние на сейчас подняты службы АД, но домен не настраивался. на всех ПК стоит shadow defender с указанными в нём папками, которые сохраняют изменения(к примеру почта у всех остаётся после ребута)

    я совсем уже не понимаю как быть дальше

    10 декабря 2013 г. 12:25
  • оке, принял

    начнем более детальный разбор полетов(все ниженаписанное является ИМХО'й и ни на чо не претендует):

    ---

    этот ваш Shadow Defender хуиФигня, т.к. реализует в удобоваримом виде то что изначально заложено системой. имало того не является 100% защитой от потенциальных угроз и является костылем от которого вы вынуждены плясать.

    существует масса способов(best practices) как решить вашу задачу (я абстрагируюсь от точки зрения легальности, правомерности и прочего бабла. Для выявиления наиболее рационального подхода нужно знать всю поднаготную, а также обсуждать данный вопрос с юристами и стаканом водки). Найти данное решение - ваша задача(обычно для этого приглашаются итеграторы).

    So, я рекомендую урезать нахфиг все права пользователям(шаг влевоправо - расстрел, а  прыжок на месте - провокация). Предоставить пользователям виртуалки со средой в которой они могут делать то что хочут и юридически снять с себя ответственность за эти действия(административно переложить правомочие).

    другой вариант - загрузка клиентских систем из образа(образы придется обслуживать)

    + ко всем случаям

    дату сохранять на выделенном сервере с регулярными бакапами

    З.Ы. обязательный профиль - mandatory user profile, а перемещаемые и мигрируемые профили это предпочтительный вариант как мне кажется.

    З.З.И. Жрать слона целиком это не лучший метод, таки давайте определитесь и будем решать.

    ---

    ну вот как то так.

    10 декабря 2013 г. 14:54
  • по поводу костыля соглашусь, но есть некоторое но...

    у меня большая разнесённая сеть и обсулживать ПК в другом конце страны которые подключаются к домену через ВПН на цисках, честно говоря проблематично и муторно

    по поводу легальности, я особо не переживаю т.к. лицензий у меня более чем достаточно :)

    пользователи и так получают свои файлы с сервера, где делаются бэк апы (чтобы при удалении кривыми руками я мог вернуть им всё что угодоно)

    а вот права порезать не могу т.к. есть беда, бывает такое, что нужен софт который они сами ставят и используют один два раза в год(пред угодать не его нет возможности) а каждый раз руками его ставить слишком долго и грозит раздутием штата ИТ персонала

    по поводу перемещяемых профилей интересно ( но человек ловит порно банер или чтото ещё , а оно как раз профиль и убивает ему...) восстанавливать долго и муторно(юзеры не адекватные)

    по этому вариант с обслуживанием клиентских ОС не рассматриваю

    беда в том что нужно релизовать свободу пользователей и варинт того, что они чтото сломали и после ребута или перезаливки образа(10 минут максимум) всё стало как и должно быть

    у меня просто не много опыта по админству форточек, я сетевой инженер циски, правда мало опыта

    • Изменено EAPolyakov 11 декабря 2013 г. 7:40
    11 декабря 2013 г. 7:39