none
Сотрудники забирают ПК домой RRS feed

  • Вопрос

  • Если ПК включен в домен и пользователь работает с учетной записью домена. Будут ли доступны данные (ранее созранненые на ПК) пользователю, если он заберет ПК домой и не будет иметь доступ к DNS серверу? 
    27 июля 2015 г. 15:00

Ответы

  • Ни сервер, ни рабочая станция ничего не думают: в случае недоступности контроллера домена они проверяют логин и пароль по кэшу и создают маркер доступа (которым определяются права на этом конкретном компьютере) на основании содержимого кэша (в том числе, вытаскивает из кэша всю информацию о группах, в которых состоял пользователь на момент записи в кэш).

    PS В принципе, возможно для разграничения доступа использовать те специальные SID (и/или Claim в Win8/2012 и выше), которые меняются в зависимости от способа аутентификации, и тогда вход по кэшированным данным точно таких же разрешений не даст, как вход через связь с КД. Но это - далеко не конфигурация по умолчанию, и если вы её не настраивали специально, можете не беспокоиться.


    Слава России!


    27 июля 2015 г. 22:42
  • Насколько я знаю - неограниченно.

    По краней мере, на старый сервер, притащенный домой, который уже более 2-х лет не имеет связи со своим доменом, захожу под доменной учеткой без проблем.


    Слава России!

    27 июля 2015 г. 18:21

Все ответы

  • Если ПК включен в домен и пользователь работает с учетной записью домена. Будут ли доступны данные (ранее созранненые на ПК) пользователю, если он заберет ПК домой и не будет иметь доступ к DNS серверу? 

    Если включено локальное кэширование учётных данных (по умолчанию оно включено), то пользователь на свой компьютер всегда может зайти под своим доменным логином и паролем (разве что, подождать подольше придётся в каких-то случаях),  так что к файлам на своём компьютере он получит тот же доступ, что и при работе в офисе.

    И уж тем более он будет иметь то же доступ к файлам, если унесёт компьютер, не выходя из системы.


    Слава России!

    27 июля 2015 г. 16:30
  • Если ПК включен в домен и пользователь работает с учетной записью домена. Будут ли доступны данные (ранее созранненые на ПК) пользователю, если он заберет ПК домой и не будет иметь доступ к DNS серверу? 

    Если включено локальное кэширование учётных данных (по умолчанию оно включено), то пользователь на свой компьютер всегда может зайти под своим доменным логином и паролем (разве что, подождать подольше придётся в каких-то случаях),  так что к файлам на своём компьютере он получит тот же доступ, что и при работе в офисе.

    И уж тем более он будет иметь то же доступ к файлам, если унесёт компьютер, не выходя из системы.


    Слава России!


    Вроде только 30 или 60 дней локальные кешированные данные будут актуальны, а потом щёлк... Или это только в старом ПО было? Но я точно помню что было...
    27 июля 2015 г. 16:44
  • Добрый день.

    DirectAccess не пробовали использовать


    Я не волшебник, я только учусь MCTS Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий Мой Блог http://www.ru-technet.com/

    Нет не пробовали, т.к. на сервере 1 сетевая карта и нет "белого" ip-адреса. Есть ли другие способы реализации, учитывая данные условия?

    27 июля 2015 г. 17:48
  • Если ПК включен в домен и пользователь работает с учетной записью домена. Будут ли доступны данные (ранее созранненые на ПК) пользователю, если он заберет ПК домой и не будет иметь доступ к DNS серверу? 

    Если включено локальное кэширование учётных данных (по умолчанию оно включено), то пользователь на свой компьютер всегда может зайти под своим доменным логином и паролем (разве что, подождать подольше придётся в каких-то случаях),  так что к файлам на своём компьютере он получит тот же доступ, что и при работе в офисе.

    И уж тем более он будет иметь то же доступ к файлам, если унесёт компьютер, не выходя из системы.


    Слава России!


    Вроде только 30 или 60 дней локальные кешированные данные будут актуальны, а потом щёлк... Или это только в старом ПО было? Но я точно помню что было...
    Сколько все же точно дней данные будут актуальны?
    27 июля 2015 г. 17:49
  • Насколько я знаю - неограниченно.

    По краней мере, на старый сервер, притащенный домой, который уже более 2-х лет не имеет связи со своим доменом, захожу под доменной учеткой без проблем.


    Слава России!

    27 июля 2015 г. 18:21
  • Насколько я знаю - неограниченно.

    По краней мере, на старый сервер, притащенный домой, который уже более 2-х лет не имеет связи со своим доменом, захожу под доменной учеткой без проблем.


    Слава России!


    Так то сервер, а то рабочая станция! Сервер то думает что один из контроллеров упал, поэтому и не лочит данные... Или какая на сервере ос?
    27 июля 2015 г. 18:44
  • Ни сервер, ни рабочая станция ничего не думают: в случае недоступности контроллера домена они проверяют логин и пароль по кэшу и создают маркер доступа (которым определяются права на этом конкретном компьютере) на основании содержимого кэша (в том числе, вытаскивает из кэша всю информацию о группах, в которых состоял пользователь на момент записи в кэш).

    PS В принципе, возможно для разграничения доступа использовать те специальные SID (и/или Claim в Win8/2012 и выше), которые меняются в зависимости от способа аутентификации, и тогда вход по кэшированным данным точно таких же разрешений не даст, как вход через связь с КД. Но это - далеко не конфигурация по умолчанию, и если вы её не настраивали специально, можете не беспокоиться.


    Слава России!


    27 июля 2015 г. 22:42
  • В общем по ходу все верно вы указали, я видать перепутал с одним из других параметров...
    27 июля 2015 г. 22:53