none
Грамотное ограничение прав пользователей RRS feed

  • Вопрос

  • Что есть: сетка на примерно 50 машин, в домене, но с пользователями пущенными поголовно под админом т.к. офис новый, полно софта (клиентов игр, админок, биллингов и тп) который без админских прав по разному матерился, а разбираться времени не было. Народ стал злоупотреблять и таскать свои игры и ставить левый софт.

    Что хочется получить:
    1)поснимать админские права с обеспечением работоспособности нужного софта
    2)ограничить поступление новых данных (программы, игры и тп) на компьютеры

    Если с первой задачей более менее понятно (есть решения), то со второй хуже - флешки отключить легко, но непонятно как ограничить поступление того же самого из интернета(понятно что можно поднять проксю, и на ней зарезать доступ, но тогда получаем гемморой с настройкой этой прокси и периодическими криками "у меня не грузиться сайт" и корректировкой блек и вайт листов) Интересует это вопрос именно с точки зрения ограничения возможности сохранения файлов на компьютер откуда бы то ни было (т.е. поступление извне) .

    Также половина софта, не ставящаяся в пути по умолчанию, отлично ставиться в личную папку даже без админских прав. Как с этим явлением бороться ? Можно как то сделать чтобы пользователь не имел на нее полных прав (или хотя бы рабочий стол с моими документами) ?

    В целом интересует как это делается "по людски" - не хотелось бы изобретать велосипед.

    24 сентября 2009 г. 10:42

Ответы

Все ответы

  • Я бы адрессовал этот вопрос в тему по серверной ОС, на которой у Вас поднят домен.
    Так как в плане ограничения некоторых функций ГПО в 2003 и 2008 серверах всё же отличаются, то есть отсутствуют в 2003 и присутствуют в 2008.
    В частности, проблем с использованием офисного ПО, установленого с админ-правами, из-под юзерской учётки я не наблюдал никогда.
    Так же можно запретить запуск приложений из папки, отличной от системной (%system%, Program Files) - это запретит запуск любого "не авторизованого" администраторами софта.
    Для ограничения скачивания, разграничения доступа в Интернет следует применить прокси. Блэк листы это дело нужное, но можно опять же использовать веб-фильтры, например от фирмы GFI.
    Для ограничения использования флэшек, тупое отключение оных не всегда спасает, потому что всегда есть те, кому они жизненно необходимы, в таком случае можно использовать ПО типа DeviceLock.

    То, что Вы спрашиваете, должно начинаться с продумывания и планирования внедрения всех этих функций, ну и, естественно, с выбивания бюджета на реализацию.
    С уважением, Максимов Сергей.
    24 сентября 2009 г. 10:53
  • Для ограничения скачивания, разграничения доступа в Интернет следует применить прокси. Блэк листы это дело нужное, но можно опять же использовать веб-фильтры, например от фирмы GFI.
    Насколько я наблюдаю, чаще всего сейчас используется squid, а это линь и отдельная машина под него. Под Windows какие есть решения ? Ставить WinGate или UserGate не хочется (совеместимость с АД как ? да и мастштаб программ смущает: как со стабильностью, поддержкой и тп). Или вы имеете ввиду, что надо связываться с ISA ?
    Для ограничения использования флешек, тупое отключение оных не всегда спасает, потому что всегда есть те, кому они жизненно необходимы, в таком случае можно использовать ПО типа DeviceLock.
    Чем это (к тому же платное) решение лучше отключения флешек в реестре ? Тем кому необходимо оставляем включенными и все. Единственное, что возникает проблепма когда за компьютером не один человек и одному флешку надо, а другому не надо.
    24 сентября 2009 г. 16:59
  • Насколько я наблюдаю, чаще всего сейчас используется squid, а это линь и отдельная машина под него. Под Windows какие есть решения ? Ставить WinGate или UserGate не хочется (совеместимость с АД как ? да и мастштаб программ смущает: как со стабильностью, поддержкой и тп). Или вы имеете ввиду, что надо связываться с ISA ?
    Прошу понять, что все упоминания ПО в моём посте являлись исключительно примером каки-либо реализаций. Это ни в коем случае не окончательное и бесповоротное. У меня не большой опыт работы с прокси-серверами, но ISA себя прекрасно зарекомендовала, тем более прекрасно интегрируется с АД. В части GFI я упоминал конкретно GFI WebMonitor for ISA (под ВинГейт, по-моему, есть другие фильтры). Упоминал просто потому, что сам работаю с таким ПО. И только в качестве примера.


    Для ограничения использования флешек, тупое отключение оных не всегда спасает, потому что всегда есть те, кому они жизненно необходимы, в таком случае можно использовать ПО типа DeviceLock.
    Данное ПО - весьма удачное ПО. Оно не только "отключает флэшки", но, так же используется для ограничения прав на использование флэшек, для контроля и прочее и прочее. Опять же, исключительно для примера.

    Чем это (к тому же платное) решение лучше отключения флешек в реестре ? Тем кому необходимо оставляем включенными и все. Единственное, что возникает проблепма когда за компьютером не один человек и одному флешку надо, а другому не надо.
    Кстати, вот тут прекрасно работает вышеуказаное ПО. (Почитайте ради интереса на сайте производителя)

    И ещё раз повторюсь. Решение в данном случае не может быть простым. Нужен комплексный подход, если говорить про реализацию полноценную. ISA стоит денег. Squid сходу не установишь и не настроишь, некая квалификация в администрировании Линукса плюс желателен опыт конкретно для squid.

    Но это - если по уму. Лучше уж взвешено решить вопросы реализации конкретной технологии в рамках темы.
    Вопросов много, и ответ может быть не один.
    С уважением, Максимов Сергей.
    24 сентября 2009 г. 17:27
  • Протокол безопасной инсталляции Windows - http://forum.sysfaq.ru/index.php?showtopic=16346
    Обратите внимание на главы Software Restriction Policies и Настройка программ для работы с ограниченными привилегиями.

    • Помечено в качестве ответа Igor LeykoModerator 2 ноября 2010 г. 8:57
    25 сентября 2009 г. 15:54
    Отвечающий
  • Протокол безопасной инсталляции Windows - http://forum.sysfaq.ru/index.php?showtopic=16346
    Обратите внимание на главы Software Restriction Policies и Настройка программ для работы с ограниченными привилегиями.


    спасибо, буду изучать
    26 сентября 2009 г. 9:57