GoldenLine
Zaloguj się
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

Witam,

wrzucam tutaj temat bo wiążę się dość mocno z bezpieczeństwem.
Czy pracujecie na domenach? Czy może jest to dla was tylko książkowa teoria? Aktualnie mam do czynienia z bardzo rozbudowanymi domenami i narzucanymi przez nie od górnie ustawieniami systemu. Oczywiście nie pasuje mi to i chciałbym się jakoby 'oswobodzić' z wpływu domeny.
Macie jakieś podpowiedzi? Usuwanie użytkowników zdalnych nie jest możliwe z poziomu administratora lokalnego. Administrator domenowy także nie może tego zrobić. Być może ktoś z was zna jakieś sposoby.

aha... wiem co powiecie - odłącz się od domeny! :) to se ne da pane havranek. Komputer musi być zalogowany do domeny (inaczej nie odbiore nawet poczty - zresztą.. takie są wymagania koncernowe, bo nie mówimy tu już o firemce czy zakładzie ale o koncernie).

pozdrawiam i jestem ciekaw pomysłów
Link do wypowiedziLink

konto usunięte

Temat: Odciąć się od domeny

Jakie masz (mozesz miec) prawa w tej domenie ?
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

mam admina lokalnego
moge mieć administratora innej domeny

te prawa się niejako nakładają ale nie znam strategii nadawania uprawnien. Wiem tylko, że jest kilka poziomów dla samych administratorów.

nie mniej jednak do swojego komputera mam tylko administratora lokalnego (który nie może sobie zmienić nawet tapety :) )
pracując z kolei na administratorze prawdziwym (nie na koncie w grupie admin.) moge juz troszke wiecej ale jeszcze nie wszystko (nie moge np. usunac grup uzytkownikow zdalnych).
admin domenowy o którym wspomnialem niestety nie ma uprawnien do domeny w której jest mój komp.

usunąłem wszystkie udziały i wyłączyłem usługę serwer - to wszystko co przyszlo mi do głowy.
Link do wypowiedziLink

konto usunięte

Temat: Odciąć się od domeny

Jacek O.:mam admina lokalnego
moge mieć administratora innej domeny


czy te domeny sa powiazane jakas relacja zaufania. Jesli tak to jak (w obie strony czy nie).

te prawa się niejako nakładają ale nie znam strategii nadawania uprawnien. Wiem tylko, że jest kilka poziomów dla samych administratorów.


no wlasnie wszystko zalezy od tego na jakim poziome domeny sobie ufaja.

nie mniej jednak do swojego komputera mam tylko administratora lokalnego (który nie może sobie zmienić nawet tapety :) )
pracując z kolei na administratorze prawdziwym (nie na koncie w grupie admin.) moge juz troszke wiecej ale jeszcze nie wszystko (nie moge np. usunac grup uzytkownikow zdalnych).
admin domenowy o którym wspomnialem niestety nie ma uprawnien do domeny w której jest mój komp.


posiadanie konta administratora lokalnego niewiele Ci daje jesli logujesz sie do domeny. Zasada jest taka iz zasady zabezpieczen lokalnych sa nadpisywane przez kontreoler domenyu w momencie logwania. Wiec lokalnie nawet jak cos pozmieniasz to po zalogowaniu do domeny i tak zostanie to nadpisane.
Co do usuwania uzytkownikow zdalnych przez admina loklnego to zapomnij - moze to robic tylko user z prawami administratora domeny lub ew. ten komu te prawa wydelegowano

usunąłem wszystkie udziały i wyłączyłem usługę serwer - to wszystko co przyszlo mi do głowy.

napisz co chcesz konkretnie osiagnac moze bede Ci w stanie cos podpowiedziec

Pozdrawiam

Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

chcialbym ograniczyć kontrolę domeny nad moim komputerem. to co napisales jest jasne ale jak juz wspomnialem - nie znam strategii uprawnien w firmie.

Link do wypowiedziLink

konto usunięte

Temat: Odciąć się od domeny

W XP masz taki fajny tools w kontach uzytkownikow - mozesz definiowac osobne hasla dla poszczegolnych hostow/domen. Ja swego czasu pracowalem w srodowisku opartym o domene NT, jako jeden z nielicznych mialem XP nie dodane do w/w domeny i za pomoca tego prostego tricku nie bylem podatny na zadne polisy narzucane przez domene, a do domeny dostep mialem pelny. Jesli jeszcze masz poczte na exchange to w ogole jestes w domu, bo outlook w momencie wygasniecia hasla po prostu wypluje prompt do zmiany. Zycie stalo sie prostsze ;)
Link do wypowiedziLink
Mikołaj W.

Mikołaj W. Pomagam rozwiązywać
problemy- nie tylko
IT

Temat: Odciąć się od domeny

Rozwiazanie fajne. Ale problem pojawia sie w innym wymiarze.

Zakładam ze obostrzenia domeny są uzasadnione polityką firmy. Tzn. że np do każdego stanowiska jest przyporządkowany profil dostępu do danych. Każde stanowisko (grupa stanowisk - grupa AD) ma profil archiwizacji danych, bakcupu, itp, itd.

I teraz mamy stanowisko które się wyłamuje, ba! ma spore uprawnienia. wg mojej wiedzy jest to sprzeczne z bezpieczeństwem - gdyż właśnie takie sytuacje są potencjalnym źródłem włamań, wycieku danych czy innych rzeczy. Lokalny administrator to mozliwość zainstalowania dowolnego programu (jezeli to domena ogranicza to jest juz lepiej), w tym trojana czy innego miłego syfa. Firewall na stanowisku i antywirus to jedno, ale uprawnienia do katalogów systemowych to kolejna linia zabezpieczeń (zwykle skuteczna i dlatego stosowana).

Pogadaj z adminem sieci. Sam jestes administratorem, wiec albo obaj bedziecie współpracować albo obaj sobie zatrujecie życie. Lepiej współpracować.

Admin "główny" powinien wyjaśnić dlaczego tak a nie inaczej wyglądaja prawa dostępu i po negocjacjach rozszerzyć je. Z drugiej strony - czy chiałbyś aby główny admin zarządał Twoja baza danych na poziomie roota ?

Pozdrawiam,
MWW
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

to troche nie tak jak mówisz.

Założenia domenowe opierają sie na polityce bezpieczeństwa firmy - to oczywiste. Jednocześnie ułatwiają prace w bardzo rozproszonym schemacie sieci - to tez oczywiste. Backupy sa ustawiane na serwerach a nie na stacjach roboczych.

Widzisz problem polega na tym, że bedac informatykiem nie mam ochoty na to aby sms instalował mi jakies niepotrzebne rzeczy. Nie potrzebuje też aby ktokolwiek(nawet guru super admin) grzebał mi na kompie. Nie mówie, że moje zapędy sa zgodne z polityką firmy - nie powiniennem robic takich rzeczy... cóż :)

Sposób prosty znalazłem sam:
jako administrator lokalny masz najwyzsze uprawnienia (i tutaj mylisz sie mowiac ze admin domenowy moze ograniczyc admina lokalnego - nie może). wystarczy dodac swojego usera do grupy adminow lokalnych a wszystkich innych z niej wyrzucic. Usunięcie udziałów i zatrzymanie serwera oczywiscie nie zaszkodzi ale jest kłopotliwe kiedy sam chcesz sie dostac do swojego kompa. Problem może pojawić się przy usuwaniu grupy uzytkownikow zdalnych ale to juz zalezy od domeny troche.
sprawdzone - działa. zaden power admin nie dostanie mi sie na kompa.
Link do wypowiedziLink
Wilhelm W.

Wilhelm W. IT & Content
Security CISM CISSP

Temat: Odciąć się od domeny

to nie bedzie dzialac jesli Admin zadba o 'restricted groups' i ustawienia w GPO

no, ale chyba widac, ze Twoj nie zadbał :)
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

jego wina jego wina jego bardzo kwaśne wina :)
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

Jacek O.:jego wina jego wina jego bardzo kwaśne wina :)

Czy pracujecie na AD? Domyslam sie ze tak. Tak wiec marne szanse pozostac w AD i zrobic to co chcesz. Pomysl o wirtualnej maszynie, ktora bedzie dodana do domeny a Twoj PC nie. Jezeli chodzi SMS zawsze mozesz poprosic SMS Administratora aby przeniosl Twojego kompa do grupy, ktora nie jest aktualizowana automatycznie przez SMS (jezeli taka sobie utworzyl) lub zatrzymac serwis sms na Twoim kompie :)
Pytanie co chcesz dokładnie osiagnac. Masz laptop sluzbowy i nie chcesz aby grzebali po nim ? Kup drugi HDD i zaintsaluj sobie system i uzywaj go w domu.
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

[


Adam Tul edytował(a) ten post dnia 12.02.07 o godzinie 20:03
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

Jacek O.:to troche nie tak jak
Problem może pojawić się przy usuwaniu grupy uzytkownikow zdalnych ale to juz zalezy od domeny troche.
sprawdzone - działa. zaden power admin nie dostanie mi sie na kompa.

Z tego co pamiec mnie nie myli to w AD 2003 jest polityka, ktora definiuje dokladnie czlonkow grupy administratorow lokalnych. Nablizszy restart kompa i wymuszana jest polityka domeny czyl guru ma znowu kontrole :)
Pytanie czy to u Was zostalo wdrozone
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

kup sobie dysk? popros administartora? naprawde koszerny pomysł :)

kto mówi o odłączeniu się od domeny? faktycznie wymuszane sa przy restarcie "ustawienia domeny" ale zalozmy ze jako admin lokalny uzune wszystkich uzytkownikow, stworze wlasnego ktory loguje sie nie do domeny tylko lokalnie do kompa. bedzie on adminem a samo konto o nazwie "administrator" zniknie. odbiore uprawnienia do dyskow wszystkim procz siebie. domena moze mi naskoczyc. nie wiem czy zle skonfigurowano serwer domeny czy nie - gdybym byl specjalistą z tej dziedziny to bym tutaj nie pytał o nic. wiem jedno - moje rozwiazanie działa
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

Jacek O.:kup sobie dysk? popros administartora? naprawde koszerny pomysł :)

. bedzie on adminem a samo konto o nazwie "administrator" zniknie. odbiore uprawnienia do dyskow wszystkim procz siebie. domena moze mi naskoczyc. nie wiem czy zle skonfigurowano serwer domeny czy nie - gdybym byl specjalistą z tej dziedziny to bym tutaj nie pytał o nic. wiem jedno - moje rozwiazanie działa

Na nic Ci usuniecie admina sie przyda jezeli komp nadal zostanie w domenie. Twoj komp jest w odpowiednim OU w AD i dostaje polityke przypisana dla OU. Musisz wywalic kompa z domeny aby nie dostawal polityki domeny. Prawa admninistartora lokalnego na nic sie Ci nie przydadza (w tej kwestii). poki jestes w AD
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

Jacek a myslales o wirtualnej maszynie?Wywal swojego PC z domeny wczesniej zainstaluj sobie VM i dodaj ta maszyne do domeny. Wtedy admin bedzie mial tylko dostep do VM a nie do PC


Adam Tul edytował(a) ten post dnia 13.02.07 o godzinie 11:43
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

mozna sprobowac.

jakis tutorial?
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

http://www.microsoft.com/downloads/details.aspx?Family...
powyzej znajdziesz instalke Virtual PC by MS. Musisz miec CD lub ISO OS, ktory chcesz zainstalowac. Aplikacja jest latwa w obsludze.
Link do wypowiedziLink
Jacek Ołowiak

Jacek Ołowiak kierownik zespołu IT

Temat: Odciąć się od domeny

no wiem co to wirtualna maszyna :) myslalem o jakims tutorialu odnosnie odciecia od domeny :)
czyli co? instalujemy VM i podlaczamy sie pod domene, poprostu?
Link do wypowiedziLink
Adam Tul

Adam Tul Service Delivery
Manager

Temat: Odciąć się od domeny

Jacek O.:no wiem co to wirtualna maszyna :) myslalem o jakims tutorialu odnosnie odciecia od domeny :)
czyli co? instalujemy VM i podlaczamy sie pod domene, poprostu?

Czasem najprostrze rozwiazania sa najlepsze. Pracujesz na VM a PC jest poza domena. Oczywiscie do VM domain admins beda mieli dostep ale nie do PC. TY jako jedyny administrator kompa mozesz do niego dostawac sie po sieci. A wlasciwie dlaczego nie mozesz pracowac na kompie poza domena? Co Ci nie dziala. Jezeli masz konto z domeny to ono ma uprawnienia do zasobow sieciowych a nie komp.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj