none
группа "Пользователи удаленного рабочего стола" RRS feed

  • Вопрос

  • Почему пользователи группы "Пользователи удаленного рабочего стола" по умолчанию может создавать папки и файлы в любом месте а также переименовывать и изменять любые файлы в том числе в папке Windows ?
    В настройках службы терминалов у подключения RDP-Tcp на вкладке "разрешения" добавил другую группу с правами "Доступ Гостя", пользователи этой группы также могут создавать и изменять любые файлы и папки...
    как сделать так чтобы терминальные пользователи могли создавать файлы и папки только в своем профиле в "Document and Settings" ?
    и что такое "ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" в NTFS разрешениях у некоторых каталогов таких как "Program Files" ?
    27 января 2010 г. 16:29

Ответы

  • как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?

    1. Маркер пользователя - покажите вывод команды whoami /groups
    2. Это нормально, так по умолчанию - не нравится - можете убрать ненужные ACE из DACL
    Если сервер у вас функционирует в режиме relaxed security - то при входе каждому пользователю присваивается членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - этот режим используется для обеспечения совместимости со старыми и привередливыми программами. NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - как вы видите имеет довольно широкие права.
    Изменить режим функционирования на full security можно так: пуск - выполнить - tscc.msc - server settings - в таком случае пользователю при входе не будет присваиваться членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
    • Помечено в качестве ответа Alexus817 28 января 2010 г. 8:48
    28 января 2010 г. 8:20
    Отвечающий

Все ответы

  • DACL каталогов "Windows" и "Program Files" покажите, пожалуйста. Покажите маркер пользователя, зарегистрированного на сервере через службу терминалов.

    27 января 2010 г. 18:10
    Отвечающий
  • Посмотрите статью:
    http://technet.microsoft.com/en-us/library/cc785098(WS.10).aspx
    "Terminal Server Users
    This group contains any users who are currently logged on to the system using Terminal Server. Any program that a user can run with Windows NT 4.0 will run for a member of the Terminal Server User group. The default permissions assigned to this group enable its members to run most earlier programs.
    No default user rights."
    "Remote Desktop Users
    Members of this group can remotely log on to a server. For more information, see Enabling users to connect remotely to the server.
    Allow log on through Terminal Services."
    По умолчанию у этих групп нет описанныз Вами прав. Думаю, что в большинстве случае им будет достаточно прав на чтение. Попробуйте сделать резервное копирование и самостоятельно установить желаемые разрешения.

    28 января 2010 г. 6:42
  • C:\>cacls c:\
    c:\ BUILTIN\Администраторы:(OI)(CI)F
        NT AUTHORITY\SYSTEM:(OI)(CI)F
        СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
        BUILTIN\Пользователи:(OI)(CI)R
        BUILTIN\Пользователи:(CI)(специальный доступ:)
                                 FILE_APPEND_DATA
    
        BUILTIN\Пользователи:(CI)(IO)(специальный доступ:)
                                     FILE_WRITE_DATA
    
        Все:R
    
    C:\>cacls "c:\Program Files"
    c:\Program Files BUILTIN\Пользователи:R
                     BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                                      GENERIC_READ
                                                      GENERIC_EXECUTE
    
                     BUILTIN\Опытные пользователи:C
                     BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
                     BUILTIN\Администраторы:F
                     BUILTIN\Администраторы:(OI)(CI)(IO)F
                     NT AUTHORITY\SYSTEM:F
                     NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
                     BUILTIN\Администраторы:F
                     СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                     NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:C
                     NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:(OI)(CI)(IO)C
    
    C:\>cacls "c:\Program Files (x86)"
    c:\Program Files (x86) BUILTIN\Пользователи:R
                           BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                                            GENERIC_READ
                                                            GENERIC_EXECUTE
    
                           BUILTIN\Опытные пользователи:C
                           BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
                           BUILTIN\Администраторы:F
                           BUILTIN\Администраторы:(OI)(CI)(IO)F
                           NT AUTHORITY\SYSTEM:F
                           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
                           BUILTIN\Администраторы:F
                           СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                           NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:C
                           NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:(OI)(CI)(IO)C
    
    
    C:\>cacls c:\WINDOWS
    c:\WINDOWS BUILTIN\Пользователи:R
               BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                                GENERIC_READ
                                                GENERIC_EXECUTE
    
               BUILTIN\Опытные пользователи:C
               BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
               BUILTIN\Администраторы:F
               BUILTIN\Администраторы:(OI)(CI)(IO)F
               NT AUTHORITY\SYSTEM:F
               NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
               BUILTIN\Администраторы:F
               СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
    как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?
    28 января 2010 г. 7:40
  • как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?

    1. Маркер пользователя - покажите вывод команды whoami /groups
    2. Это нормально, так по умолчанию - не нравится - можете убрать ненужные ACE из DACL
    Если сервер у вас функционирует в режиме relaxed security - то при входе каждому пользователю присваивается членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - этот режим используется для обеспечения совместимости со старыми и привередливыми программами. NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - как вы видите имеет довольно широкие права.
    Изменить режим функционирования на full security можно так: пуск - выполнить - tscc.msc - server settings - в таком случае пользователю при входе не будет присваиваться членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
    • Помечено в качестве ответа Alexus817 28 января 2010 г. 8:48
    28 января 2010 г. 8:20
    Отвечающий