none
группа "Пользователи удаленного рабочего стола" RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти
    Почему пользователи группы "Пользователи удаленного рабочего стола" по умолчанию может создавать папки и файлы в любом месте а также переименовывать и изменять любые файлы в том числе в папке Windows ?
    В настройках службы терминалов у подключения RDP-Tcp на вкладке "разрешения" добавил другую группу с правами "Доступ Гостя", пользователи этой группы также могут создавать и изменять любые файлы и папки...
    как сделать так чтобы терминальные пользователи могли создавать файлы и папки только в своем профиле в "Document and Settings" ?
    и что такое "ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" в NTFS разрешениях у некоторых каталогов таких как "Program Files" ?
    27 января 2010 г. 16:29
    |

Ответы

  • Question
    Нужно войти
    0
    Нужно войти
    как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?

    1. Маркер пользователя - покажите вывод команды whoami /groups
    2. Это нормально, так по умолчанию - не нравится - можете убрать ненужные ACE из DACL
    Если сервер у вас функционирует в режиме relaxed security - то при входе каждому пользователю присваивается членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - этот режим используется для обеспечения совместимости со старыми и привередливыми программами. NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - как вы видите имеет довольно широкие права.
    Изменить режим функционирования на full security можно так: пуск - выполнить - tscc.msc - server settings - в таком случае пользователю при входе не будет присваиваться членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
    • Помечено в качестве ответа Alexus817 28 января 2010 г. 8:48
    28 января 2010 г. 8:20
    |
    Отвечающий

Все ответы

  • Question
    Нужно войти
    0
    Нужно войти

    DACL каталогов "Windows" и "Program Files" покажите, пожалуйста. Покажите маркер пользователя, зарегистрированного на сервере через службу терминалов.

    27 января 2010 г. 18:10
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Посмотрите статью:
    http://technet.microsoft.com/en-us/library/cc785098(WS.10).aspx
    "Terminal Server Users
    This group contains any users who are currently logged on to the system using Terminal Server. Any program that a user can run with Windows NT 4.0 will run for a member of the Terminal Server User group. The default permissions assigned to this group enable its members to run most earlier programs.
    No default user rights."
    "Remote Desktop Users
    Members of this group can remotely log on to a server. For more information, see Enabling users to connect remotely to the server.
    Allow log on through Terminal Services."
    По умолчанию у этих групп нет описанныз Вами прав. Думаю, что в большинстве случае им будет достаточно прав на чтение. Попробуйте сделать резервное копирование и самостоятельно установить желаемые разрешения.

    28 января 2010 г. 6:42
    |
  • Question
    Нужно войти
    0
    Нужно войти 
    C:\>cacls c:\
c:\ BUILTIN\Администраторы:(OI)(CI)F
    NT AUTHORITY\SYSTEM:(OI)(CI)F
    СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
    BUILTIN\Пользователи:(OI)(CI)R
    BUILTIN\Пользователи:(CI)(специальный доступ:)
                             FILE_APPEND_DATA

    BUILTIN\Пользователи:(CI)(IO)(специальный доступ:)
                                 FILE_WRITE_DATA

    Все:R

C:\>cacls "c:\Program Files"
c:\Program Files BUILTIN\Пользователи:R
                 BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                                  GENERIC_READ
                                                  GENERIC_EXECUTE

                 BUILTIN\Опытные пользователи:C
                 BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
                 BUILTIN\Администраторы:F
                 BUILTIN\Администраторы:(OI)(CI)(IO)F
                 NT AUTHORITY\SYSTEM:F
                 NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
                 BUILTIN\Администраторы:F
                 СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                 NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:C
                 NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:(OI)(CI)(IO)C

C:\>cacls "c:\Program Files (x86)"
c:\Program Files (x86) BUILTIN\Пользователи:R
                       BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                                        GENERIC_READ
                                                        GENERIC_EXECUTE

                       BUILTIN\Опытные пользователи:C
                       BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
                       BUILTIN\Администраторы:F
                       BUILTIN\Администраторы:(OI)(CI)(IO)F
                       NT AUTHORITY\SYSTEM:F
                       NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
                       BUILTIN\Администраторы:F
                       СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                       NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:C
                       NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ:(OI)(CI)(IO)C


C:\>cacls c:\WINDOWS
c:\WINDOWS BUILTIN\Пользователи:R
           BUILTIN\Пользователи:(OI)(CI)(IO)(специальный доступ:)
                                            GENERIC_READ
                                            GENERIC_EXECUTE

           BUILTIN\Опытные пользователи:C
           BUILTIN\Опытные пользователи:(OI)(CI)(IO)C
           BUILTIN\Администраторы:F
           BUILTIN\Администраторы:(OI)(CI)(IO)F
           NT AUTHORITY\SYSTEM:F
           NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F
           BUILTIN\Администраторы:F
           СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
    как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?
    28 января 2010 г. 7:40
    |
  • Question
    Нужно войти
    0
    Нужно войти
    как узнать маркер пользователя? маркер пользователя - это SID или нет?
    Терминальные пользователи могут создавать свои каталоги в корне любого раздела... это нормально? и что такое "NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ" ?

    1. Маркер пользователя - покажите вывод команды whoami /groups
    2. Это нормально, так по умолчанию - не нравится - можете убрать ненужные ACE из DACL
    Если сервер у вас функционирует в режиме relaxed security - то при входе каждому пользователю присваивается членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - этот режим используется для обеспечения совместимости со старыми и привередливыми программами. NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ - как вы видите имеет довольно широкие права.
    Изменить режим функционирования на full security можно так: пуск - выполнить - tscc.msc - server settings - в таком случае пользователю при входе не будет присваиваться членство в группе NT AUTHORITY\ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ
    • Помечено в качестве ответа Alexus817 28 января 2010 г. 8:48
    28 января 2010 г. 8:20
    |
    Отвечающий