imam 40 tak racunara pod Win XP u domainu pod Win 2003 standard. Dakle na serveru je Active Directory, DHCP, DNS. Desila mi se cudna stvar na 2 klijent racunara. korisnici su uspeli preko svojih naloga da obrisu i instaliraju Mozilu firefox. Gledao sam ova dva naloga u acitve directory i pripadaju grupi domain/users i dvema grupama u kojima imaju full control na dva sharovna foldera koja su na serveru.Podrazumeva se da grupa users ne moze da instalira programe odakle sad ova dva mogu? moze li mi ko reci gde je greska i sta mi predlazete?
hvala
Iako u useri na domenu, vrlo je moguće da je taj domenski nalog u stvari administrator na lokalnoj mašini. A ako pak nije, onda su se logovali sa lokalnim admin nalogom i instalirali FF.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
korisnik kaze da je sa neta skinuo najnoviji FF i da ga je instalirao. Sve mi se cini da je kolega administrator koji radi samnom dao administrator prava tom nalogu. drugo ne vidim da bi moglo sta drugo a se uradi ili da je usao na lokal administrator nalog
to je odavno poznato da moze, jer ff ne koristi pristup program files nego se smjesta u dio profila gdje korisnik ima prava pisanja, kao i njegov dio registry-ja. jedini nacin da to sredis ti je software restriction policy koji ce da prati da se samo mogu pokrenuti apppliakcije iz program filesa
evo danas mi se desilo da korisnik instalirao nokia suite program za prebacivanje muzike i slika iz telefona u kompjuter. Izgleda da i ovaj noki-a alat radi isto upis u delu gde korisnik ima pravo pristupa. Zanci samo da u domenskoj polisi jednostavno omogucim samo pokretanje programa iz program files? to je vas savet?
Software restriction policy svakako ce da ti rijesi problem. Ako ti treba visi nivo sigurnosti mozes da ogranicis pokretanje samo na hash ili na naziv, ali za pocetak putanja ce ti biti dovoljna
mozete limi dati neka uputstva oko postavljanja software restriction policy jer sam citao
da postoji 4 mogucnosti za identifikovanje software:
Hash—A cryptographic fingerprint of the file.
Certificate—A software publisher certificate used to digitally sign a file.
Path—The local or universal naming convention (UNC) path of where the file is stored.
Zone—Internet Zone
Sta koristiti od ova 4? Naravno trebao bih da izuzmem administratore iz ovih restrikcija. to sam nasao u uputstvu.
U ovim uputstvima sto sam citao sa microsoftovog sajta sva se odnose na onemogucavanje pokretanja odredjenih programa,ali nigde nisam nasao kako onemoguciti korisnika da instalira program
Meni je potrebno da korisnici ne mogu da instaliraju nijedan program.
Sta treba postaviti u software restriction policy?
Hvala