none
ACL на устройства RRS feed

  • Вопрос

  • Коллеги,

    Где находятся ACL на устройства (флопповоды, DVD-приводы и проч.)? RTFM что?
    Задача - разрешить чтение с флопика или CD-ROM, но запретить запись туда.
    Заранее спасибо.
    24 февраля 2009 г. 10:24

Ответы

  • Victor Sudakov написал:

    Коллеги,

    Где находятся ACL на устройства (флопповоды, DVD-приводы и проч.)? RTFM что?
    Задача - разрешить чтение с флопика или CD-ROM, но запретить запись туда.
    Заранее спасибо.


    Этот функционал обеспечивают сторонние программы.
    • Помечено в качестве ответа Victor Sudakov 25 февраля 2009 г. 7:04
    24 февраля 2009 г. 16:05
    Модератор
  • В таком случае ваша задача штатно и без дополнительных финансовых вложений не решается никак. Видите ли, сервер терминалов может отличить только одного аппаратного клиента от другого. Но сказать, кто работает за этим клиентом по очевидным причинам не может (ну нету у вас механизма аутентификации клиентов на клиенте). На уровне сервера максимум, что вы можете - это использовать какой-нибудь DeviceLock. Вопрос только в том, обеспечивают ли они такой функционал или нет - я не знаю. Посмотрите спецификацию на сайте производителя.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Предложено в качестве ответа Aleksey Potapov 26 февраля 2009 г. 10:43
    • Помечено в качестве ответа Victor Sudakov 26 февраля 2009 г. 12:28
    26 февраля 2009 г. 8:44

Все ответы

  • Не бывает ACL на уровне устройств, а только объектов, как файловая система, реестр или схема Active Directory.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Предложено в качестве ответа Buchenkov Andrey 24 февраля 2009 г. 15:02
    24 февраля 2009 г. 14:20
  • Victor Sudakov написал:

    Коллеги,

    Где находятся ACL на устройства (флопповоды, DVD-приводы и проч.)? RTFM что?
    Задача - разрешить чтение с флопика или CD-ROM, но запретить запись туда.
    Заранее спасибо.


    Этот функционал обеспечивают сторонние программы.
    • Помечено в качестве ответа Victor Sudakov 25 февраля 2009 г. 7:04
    24 февраля 2009 г. 16:05
    Модератор
  • Что касается записи CD, то максимум, что вы можете сделать - запретить запись CD дисков с использованием мастера записи компакт-дисков. Но если в системе присутствует другое ПО (например, Roxio, Nero), то они используют свои механизмы записи и не подчиняются этой политике.


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    24 февраля 2009 г. 16:07
  • Не ожидал, что такой нужной функциональности просто нет. Огорчен. А в висте или win2008 или windows 7 тоже нет?

    И схожий вопрос. Как в терминал-сервере на базе windows 2003 разрешить одной группе пользователей мапить локальные устройства (как-то диски, флешки и прочее), а другой запретить?

    Как глобально сделать для всего терминал-сервера (в свойствах RDP), знаю. А как сделать для разных пользователей по-разному?
    24 февраля 2009 г. 16:58
  •  что касается RDP, то единственное, что можно сделать - сделать несколько Connections и использовать для разных пользователей разные connections. Доступ к разным connections регулировать вкладкой Permissions.

    > Не ожидал, что такой нужной функциональности просто нет.

    как-то до вас она была невостребована =))
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Предложено в качестве ответа Aleksey Potapov 24 февраля 2009 г. 18:36
    24 февраля 2009 г. 17:18
  • На ХР не помню, а на Viste есть ->  gpedit.msc - конфигурация компьютера - административные шаблоны - система - доступ к съёмным запоминающим устройствам. Рулите на здоровье, не совсем конечно ACL  но лучше чем ничего.
    Правда это вроде как не относится к Home версиям (нет там gpedit). Соответственно юзер не должен быть в группе Администраторов что бы не сменил политику. 
    • Предложено в качестве ответа Aleksey Potapov 24 февраля 2009 г. 18:36
    24 февраля 2009 г. 18:20
  • Vadims Podans написал:

     что касается RDP, то единственное, что можно сделать - сделать несколько Connections и использовать для разных пользователей разные connections. Доступ к разным connections регулировать вкладкой Permissions.

    1. Каким образом при подключении клиента к серверу указывать, к которому connection следует подключаться? Сперва подумал, что можно разнести разные connections по разным портам, но не нашёл в свойствах connection такой настройки, на каком порту слушать.

    2. Можно ли централизованно (например с помощью политик) задавать, какому пользователю использовать какой connection?
    25 февраля 2009 г. 3:08
  • Vadims Podans написал:

     > Не ожидал, что такой нужной функциональности просто нет.

    как-то до вас она была невостребована =))


    Извините, не верю. Я погуглил насчёт сторонних решений. Если бы она была невостребована, то продукты типа Zlock, DeviceLock и проч.  не продавались бы.
    25 февраля 2009 г. 3:11
  • zavvin_itr написал:

    На ХР не помню, а на Viste есть ->  gpedit.msc - конфигурация компьютера - административные шаблоны - система - доступ к съёмным запоминающим устройствам. Рулите на здоровье, не совсем конечно ACL  но лучше чем ничего.


    Если оно в разделе "конфигурация компьютера", значит на уровне пользователей права раздавать нельзя? По условию задачи нужно раздать права на уровне пользователей.

    25 февраля 2009 г. 3:16
  •  Вы совершенно правы. На то политики и разделены.
    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    25 февраля 2009 г. 5:26
  • порт RDP изменяется согласно этой статьи:
    http://support.microsoft.com/kb/187623/ru
    Вы просто в реестре в каждом соединении выставляете свой порт, а как подключаться клиентам - вы должны подготовить RDP файлы для подключений и раздать их клиентам. Каждой группе клиентов будет назначен определённый порт. Т.е. в терминальном клиенте адрес сервера будет примерно такой: server:3387 (если порт будет 3387). И в консоли tscc.msc разрешениями регулируете доступ на каждом соединении, чтобы пользователи не подключались к чужому connections.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    25 февраля 2009 г. 7:09
  • Vadims Podans написал:

    порт RDP изменяется согласно этой статьи:
    http://support.microsoft.com/kb/187623/ru
    Вы просто в реестре в каждом соединении выставляете свой порт, а как подключаться клиентам - вы должны подготовить RDP файлы для подключений и раздать их клиентам. Каждой группе клиентов будет назначен определённый порт.


    Клиентами являются железные терминалы http://www.ak-systems.ru/products/models/
    Это значит, на каждом терминале придётся заводить два профиля, а каждому пользователю терминала помнить,  какой профиль его и какой не его. Неудобно. Централизованного управления правом мапить устройства (на уровне групп безопасности или OU) тоже не будет.
    26 февраля 2009 г. 3:35
  • Aleksey Potapov написал:

     Вы совершенно правы. На то политики и разделены.



    Так неправильно они разделены. Сегодня за этим компьютером сидит Иванов без права записи на флешку, а завтра сядет его начальник Петров с правом записи. И что?
    26 февраля 2009 г. 3:37
  • Ну то, что сделано правильно или нет.....было оно сделано давно и пока никто не жаловался....система гибкая, функциональная...


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    26 февраля 2009 г. 7:22
  • А пользователи заходят под своими индивидуальными логинами или на одном клиенте только один набор логин-пароль? Если первое, то не вижу проблемы. Если второе - то сами можете понять вашу трудность. Откуда сервер терминалов узнает, что это именно Иванов или Петров? :)


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    26 февраля 2009 г. 7:55
  • Vadims Podans написал:

    А пользователи заходят под своими индивидуальными логинами или на одном клиенте только один набор логин-пароль? Если первое, то не вижу проблемы.


    Куда заходят? На терминал-сервер естественно под своими индивидуальными. А на самом тонком клиенте никто никуда не заходит, он после включения питания соединяется с терминал-сервером по RDP и показывает окошко входа этого терминал-сервера.
    26 февраля 2009 г. 8:38
  • В таком случае ваша задача штатно и без дополнительных финансовых вложений не решается никак. Видите ли, сервер терминалов может отличить только одного аппаратного клиента от другого. Но сказать, кто работает за этим клиентом по очевидным причинам не может (ну нету у вас механизма аутентификации клиентов на клиенте). На уровне сервера максимум, что вы можете - это использовать какой-нибудь DeviceLock. Вопрос только в том, обеспечивают ли они такой функционал или нет - я не знаю. Посмотрите спецификацию на сайте производителя.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    • Предложено в качестве ответа Aleksey Potapov 26 февраля 2009 г. 10:43
    • Помечено в качестве ответа Victor Sudakov 26 февраля 2009 г. 12:28
    26 февраля 2009 г. 8:44