домены в WinXP
XP хоум или проф?
домены это не свойство десктопной оси, а свойство сети в которой находит этот комп
домены это не свойство десктопной оси, а свойство сети в которой находит этот комп
XP Pro. в сети домены имеются
и каковы преимущества/недостатки доменов? 
тогда просто добавь комп в этим домены
это холиварный вопрос, преимущества примерно такие:
Домен Windows NT — группа компьютеров одной сети, имеющих единый центр (который называется контроллером домена использующий единую базу пользователей (то есть учётные записи находятся не на каждом в отдельности компьютере, а на контроллере домена, т.н. сетевой вход в систему единую групповую и локальную политики, единые параметры безопасности (применимо к томам с файловой системой NTFS ограничение времени работы учётной записи и прочие параметры, значительно упрощающие работу системного администратора организации, если в ней эксплуатируется большое число компьютеров. Также становится возможным сделать для каждого аккаунта перемещаемый профиль, сетевой путь к которому хранится в одном месте — на контроллере домена. В результате пользователи могут работать со своим «рабочим столом», «моими документами» и прочими индивидуально настраиваемыми элементами с любого компьютера домена.
имя пользователя типа sweet.domain\User должно помочь
спасибо
про недостатки напиши, плз
это холиварный вопрос
тормоза в некоторых случаях, полный контоль админа домена над компами этого домена.
почему это недостаток?
полный контоль админа домена над компами этого домена.
Для сотрудника недостаток.
а там до сих пор нужно пароль администратора домена на пользовательском компе вводить?
при вводе в домен?
да, в какой момент?
ну да, при вводе
нужно ввести логин и пароль человека, обладающего правами на ввод компа в домен, необязательно вводить пароль пользователя "Администратор".
Если в сети только 1 DC, то при его падении будет большой гемор.
ну тогда уже лучше
основной принципиальный недостаток, получается - контроль над компьютером со стороны не всегда понятно кого
основной принципиальный недостаток, получается - контроль над компьютером со стороны не всегда понятно кого
Почему же, понятно. От админа домена или кому еще делегированы полномочия. Обычно это известные люди
Смотря кому известны.
Вот пришёл клиент, и ты ему на ноут хочешь презентации скинуть, а они у тебя на файлсервере. В общем доступе их нет, информация для служебного пользование, клиент подписывает договор о неразглашении.
И тебе придётся на флешке их передавать, а сетевые технологии отдыхают.
Вот пришёл клиент, и ты ему на ноут хочешь презентации скинуть, а они у тебя на файлсервере. В общем доступе их нет, информация для служебного пользование, клиент подписывает договор о неразглашении.
И тебе придётся на флешке их передавать, а сетевые технологии отдыхают.
Почему же, делается папочка для общего доступа, куда оный клиент будет иметь доступ и без ввода в домен. А всем пользователям домена, кроме админов, этот доступ зарезается.
Собственно, ситуация известная, уже не раз проходили с внешним аудитом. На наш файл-сервер им давать доступ нельзя есс-но, а папочка для обмена документами с сотрудниками нужна.
Собственно, ситуация известная, уже не раз проходили с внешним аудитом. На наш файл-сервер им давать доступ нельзя есс-но, а папочка для обмена документами с сотрудниками нужна.
Почему же, делается папочка для общего доступа,но эта папка доступа всем, а не только этому клиенту.
т.е. домен как раз мог помочь аккуратно раздать права.
А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.
А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.а если сейчас два клиента? они же оба значат получат доступ к этому документу.
А все - это кто? Сотрудники компании + клиент. Если сотрудникам нет доступа, остается только клиент.и вообще кто мешает произвольному человека притащить ОС без входа в домен (хоть установленную в виртуальной машине) и получить доступ к этой папке?
Доступ нужно только тем давать, кто соглашение подписал.
Ну да, можно что-то придумать с временными папками, одноразовыми паролями. Но домены тут уже неприменимы, разграничения доступа будут делаться не встроенными виндовыми средствами, а чем-то ещё.
Ну да, можно что-то придумать с временными папками, одноразовыми паролями. Но домены тут уже неприменимы, разграничения доступа будут делаться не встроенными виндовыми средствами, а чем-то ещё.
Это уже редкость скорее 
Ну вот, пожалуйста, еще вариант. Каждому клиенту делается юзерская учетка в домене, раздаются права на папки, клиент тупо вводит логин-пасс при обращении к папке.
Юзерскую учетку делать 5 минут.
Ну вот, пожалуйста, еще вариант. Каждому клиенту делается юзерская учетка в домене, раздаются права на папки, клиент тупо вводит логин-пасс при обращении к папке.
Юзерскую учетку делать 5 минут.
Тем, что порты лишние на свичах зарезаны.
Если злоумышленник получил физический доступ к розетке твоей сети, то безопасность уже сииииииильно пострадала.
Если злоумышленник получил физический доступ к розетке твоей сети, то безопасность уже сииииииильно пострадала.
и вообще кто мешает произвольному человека притащить ОС без входа в домен (хоть установленную в виртуальной машине) и получить доступ к этой папке?
папке надо давать длинное название, примерно как урлы в гугл.докс, закрывать ее от показа в списке ресурсов, т.е. чтобы войти можно было только введя точный путь и присылать клиенту ссылка на папку по почте
папке надо давать длинное название, примерно как урлы в гугл.докс, закрывать ее от показа в списке ресурсов, т.е. чтобы войти можно было только введя точный путь и присылать клиенту ссылка на папку по почтеВ виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.
а "net config server /hidden:yes" не помогает?
по-моему вы всё переусложняете. передать один файл через общедоступный ресурс можно в запароленном архиве.
это опять использование функционала отличного от функционала домена
1 раз можно любым костылем передать, хоть флешкой, а если те же аудиторы у тебя месяц сидят - затрахаешься.
много раз в разных конторах видела ситуацию, когда аудиторам тупо выдавали ноуты с учетками в домене
Прайсы со своими ходют. У них еще оттуда доступ к своему Lotus Notes через VPN.
а "net config server /hidden:yes" не помогает?На Висте х64 не помогло, но я службу сервер не перезапускал
у них есть возможность выходить в него с любых компов, хехе
В виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.только если имя короткое (толи до 8, толи до 12 символов)
у них есть возможность выходить в него с любых компов, хехеи предоставить этим возможность уже компании получит доступ к сети клиента(аудитора)?
Там прожку-клиента ставить надо.
Да там зафайрволено все что можно.
В виндоокружении анриал. Любой сканер ресурсов увидит скрытую папку, пошаренную с $.Поднять где-нибудь фтп-сервер, при чём умеющий не выводить папки в листинге.
Да там зафайрволено все что можно.я о том, что если клиент заходит в свою сеть с компьютера компании, то компания без особых проблем может получить доступ к логину этого клиента, используя keylogger, screenlogger и т.д.
VPN довольно секьюрен же
и чо?
VPN довольно секьюрен жеа клавиатура и экран нет, и они доступны для доступа сотрудникам компании.
VPN C SecurID решает
VPN C SecurID решаетлишь частично, т.к. все равно остается возможность попасть в сеть пока клиент сидит
Если доменов несколько - рекомендую настроить между ними trust
VPN C SecurID решаета это что такое?
PS Гугль не отменили, это я пока без инета
гуглить мне лень, я тебе на пальцах расскажу: это такой брелочек, который раз в минуту генерит шестизначный код, алгоритм синхронизирован с алгоритмом на серваке, ты загружаешь VPN и в качестве пароля вводишь 4 цифры пинкода (секретного и постоянного) и 6 цифр с брелка, по этому паролю происходит авторизация
как-то так
как-то так
Т.е. кейлоггер поймает только пин, а без брелка он ни к чему. Спасибо.
Оставить комментарий
zlata07
навеяно постомкак в WinXP сделать различные домены на вход в систему? вот так:
нужно это делать во время установки или можно после?