домены в WinXP

zlata07

навеяно постом
как в WinXP сделать различные домены на вход в систему? вот так:

нужно это делать во время установки или можно после?

Angelika_900

XP хоум или проф?
домены это не свойство десктопной оси, а свойство сети в которой находит этот комп

zlata07

XP Pro. в сети домены имеются

zlata07

и каковы преимущества/недостатки доменов? :)

Angelika_900

тогда просто добавь комп в этим домены

Angelika_900

это холиварный вопрос, преимущества примерно такие:
Домен Windows NT — группа компьютеров одной сети, имеющих единый центр (который называется контроллером домена использующий единую базу пользователей (то есть учётные записи находятся не на каждом в отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему единую групповую и локальную политики, единые параметры безопасности (применимо к томам с файловой системой NTFS ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров. Также становится возможным сделать для каждого аккаунта перемещаемый профиль, сетевой путь к которому хранится в одном месте — на контроллере домена. В результате пользователи могут работать со своим «рабочим столом», «моими документами» и прочими индивидуально настраиваемыми элементами с любого компьютера домена.

klyv

имя пользователя типа sweet.domain\User должно помочь

zlata07

спасибо

alekc34



это холиварный вопрос
про недостатки напиши, плз :)

nik93

тормоза в некоторых случаях, полный контоль админа домена над компами этого домена.

alekc34



полный контоль админа домена над компами этого домена.
почему это недостаток?

kruzer25

Для сотрудника недостаток.

Marinavo_0507

а там до сих пор нужно пароль администратора домена на пользовательском компе вводить?

AlexV769

при вводе в домен?

alekc34

да, в какой момент?

Marinavo_0507

ну да, при вводе

AlexV769

нужно ввести логин и пароль человека, обладающего правами на ввод компа в домен, необязательно вводить пароль пользователя "Администратор".

logan00108

Если в сети только 1 DC, то при его падении будет большой гемор.

Marinavo_0507

ну тогда уже лучше
основной принципиальный недостаток, получается - контроль над компьютером со стороны не всегда понятно кого

logan00108

Почему же, понятно. От админа домена или кому еще делегированы полномочия. Обычно это известные люди :)

Marinavo_0507

Смотря кому известны.
Вот пришёл клиент, и ты ему на ноут хочешь презентации скинуть, а они у тебя на файлсервере. В общем доступе их нет, информация для служебного пользование, клиент подписывает договор о неразглашении.
И тебе придётся на флешке их передавать, а сетевые технологии отдыхают.

logan00108

Почему же, делается папочка для общего доступа, куда оный клиент будет иметь доступ и без ввода в домен. А всем пользователям домена, кроме админов, этот доступ зарезается.
Собственно, ситуация известная, уже не раз проходили с внешним аудитом. На наш файл-сервер им давать доступ нельзя есс-но, а папочка для обмена документами с сотрудниками нужна.

Dasar

Почему же, делается папочка для общего доступа,
но эта папка доступа всем, а не только этому клиенту.
т.е. домен как раз мог помочь аккуратно раздать права.

logan00108

А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.

Dasar

А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.
а если сейчас два клиента? они же оба значат получат доступ к этому документу.

Dasar

А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.
и вообще кто мешает произвольному человека притащить ОС без входа в домен (хоть установленную в виртуальной машине) и получить доступ к этой папке?

Marinavo_0507

Доступ нужно только тем давать, кто соглашение подписал.
Ну да, можно что-то придумать с временными папками, одноразовыми паролями. Но домены тут уже неприменимы, разграничения доступа будут делаться не встроенными виндовыми средствами, а чем-то ещё.

logan00108

Это уже редкость скорее ;)
Ну вот, пожалуйста, еще вариант. Каждому клиенту делается юзерская учетка в домене, раздаются права на папки, клиент тупо вводит логин-пасс при обращении к папке.
Юзерскую учетку делать 5 минут.

logan00108

Тем, что порты лишние на свичах зарезаны.
Если злоумышленник получил физический доступ к розетке твоей сети, то безопасность уже сииииииильно пострадала.

Angelika_900

и вообще кто мешает произвольному человека притащить ОС без входа в домен (хоть установленную в виртуальной машине) и получить доступ к этой папке?

папке надо давать длинное название, примерно как урлы в гугл.докс, закрывать ее от показа в списке ресурсов, т.е. чтобы войти можно было только введя точный путь и присылать клиенту ссылка на папку по почте

logan00108

папке надо давать длинное название, примерно как урлы в гугл.докс, закрывать ее от показа в списке ресурсов, т.е. чтобы войти можно было только введя точный путь и присылать клиенту ссылка на папку по почте
В виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.

Angelika_900

а "net config server /hidden:yes" не помогает?

okis

по-моему вы всё переусложняете. передать один файл через общедоступный ресурс можно в запароленном архиве.

Angelika_900

это опять использование функционала отличного от функционала домена

logan00108

1 раз можно любым костылем передать, хоть флешкой, а если те же аудиторы у тебя месяц сидят - затрахаешься.

alekc34

много раз в разных конторах видела ситуацию, когда аудиторам тупо выдавали ноуты с учетками в домене

logan00108

Прайсы со своими ходют. У них еще оттуда доступ к своему Lotus Notes через VPN.

logan00108

а "net config server /hidden:yes" не помогает?
На Висте х64 не помогло, но я службу сервер не перезапускал

alekc34

у них есть возможность выходить в него с любых компов, хехе

Dasar

В виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.
только если имя короткое (толи до 8, толи до 12 символов)

Dasar

у них есть возможность выходить в него с любых компов, хехе
и предоставить этим возможность уже компании получит доступ к сети клиента(аудитора)?

logan00108

Там прожку-клиента ставить надо.

logan00108

Да там зафайрволено все что можно.

Andbar

В виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.
Поднять где-нибудь фтп-сервер, при чём умеющий не выводить папки в листинге.

Dasar

Да там зафайрволено все что можно.
я о том, что если клиент заходит в свою сеть с компьютера компании, то компания без особых проблем может получить доступ к логину этого клиента, используя keylogger, screenlogger и т.д.

alekc34

VPN довольно секьюрен же

alekc34

и чо?

Dasar

VPN довольно секьюрен же
а клавиатура и экран нет, и они доступны для доступа сотрудникам компании.

alekc34

VPN C SecurID решает

Dasar

VPN C SecurID решает
лишь частично, т.к. все равно остается возможность попасть в сеть пока клиент сидит

yroslavasako

Если доменов несколько - рекомендую настроить между ними trust

Dimon89

VPN C SecurID решает
а это что такое?
PS Гугль не отменили, это я пока без инета :(

alekc34

гуглить мне лень, я тебе на пальцах расскажу: это такой брелочек, который раз в минуту генерит шестизначный код, алгоритм синхронизирован с алгоритмом на серваке, ты загружаешь VPN и в качестве пароля вводишь 4 цифры пинкода (секретного и постоянного) и 6 цифр с брелка, по этому паролю происходит авторизация
как-то так

Dimon89

Т.е. кейлоггер поймает только пин, а без брелка он ни к чему. Спасибо.
Оставить комментарий
Имя или ник:
Комментарий: