kissé banálisnak tűnhet kérdésem, de nagy szükségem lenne egy villámgyors segitségre :
-felraktam egy Windows Server 2003-at virtuális környezetbe.
Hozzácsaptam az Administrative Tools-csomagot, egyszóval van egy komplett rendszerem.
Telepitettem mellé 1 XP-klienst. A szerveren létrehoztam egy usert, legyen mondjuk a neve : testuser.
Azt szeretném elérni, hogyha testuser barátunk Remote Desktop-pal rájelentkezik az XP-ről a szerverre, akkor bizony ne lásson olyan modulokat, hogy DHCP, DNS, Users and Computers, meg hasonlókat.
Hogy lehet ezt a legegyszerűbben beállítani?
Azt tudom, hogy be kellett rakjam egy csoportba, a Remote Desktop Users-csoportba, hogy egyáltalán MSTSC-vel elérje a szervert.
milyen admintoolt a szerverre?minek?
ha az user rdpvel ramegy,nincs joga semmihez,max az ures konzolokat tudja inditani. nem kell semmi tovabbi hackeles.
Azért ez nem feltétlen van így, nem tudjuk, milyen környezetről van szó, a felhasználó milyen csoporttagsággal rendelkezik stb.
A GPO (Group Policy) beállítások sem azonosak munkacsoportos illetve tartományi rendszerben.
Egy példa: ha a felhasználói jogok között a Távoli rendszerleállítás nincs megfelelően konfigurálva, akkor egy mezei felhasználó is leállíthatja RDP-n keresztül is a szervert... és még lehetne folytatni.
Kérdésedre válaszolva : ez a kis hálózatocska, amit kialakítottam, tartományi rendszerű.
A DC-n hoztam létre a testusert, az ugye lereplikálódott a kliensekre is, és ettől fogva be tudott lépni a tartományvezérlőre is RDP-vel. Innen jöttek a gondok
Tk. csak tanulásképpen csinálom, "öregkoromra" kell vele foglalkoznom, ezért, mint minden gyereknek, nekem is minden új
Igazából a feladatom az lenne majd, hogy csinálnom kell még egy klienst, szintén W2k3 Serverrel, ami már kész is van ( klónozás rulez )), amin egy SQL Server fog futni, és ezen a szerveren kellene úgy beállítgatnom a jogokat, hogy a kezdő levelemben leírtaknak megfelelően gyakorlatilag semmilyen rendszerszintű komponenst ne érjenek el a felhasználók.
Gondolok itt pl., egy hirtelen jött ötlettől vezérelve, hogy pl. a services.msc consol indításánál ugye fel lehet venni egyéb computereket is.
Egy jól beállított rendszeren pl. ezen a komponensen nem tudja az arra nemjogosult user felvenni a Dc-t.
Nem tudom, mennyire sikerült világosabban leírnom a problémáimat-kérdéseimet...
Ha DU csoportból nem tudod törölni, akkor miért nem módosítod az alapértelmezett csoportot? Legjobb tudomásom szerint simán lehet az alapértelmezett csoportot módosítani minden user-nél...
Egyébként miért nem hozol létre egy külön csoportot, amiben csak be kell állítanod a jogokat megfelelően, és így az oprendszer minden hülyeségétől megmenekülnél?
Orlando: ha a DomainUsers csoportban van a felhasználó, akkor elvileg nem kell semmi policy-t állítani szerintem. Mivel ekkor emlékeim szerint csak a beállításokat lehet megnézni, de módosítani nem lehet. (Természetesen előfordulhat, hogy rosszul emlékszem, mert utoljára 2 éve használtam win2k3-at...)
A Default Domain Controller Policyben kell a jogok között állítani, hogy melyik usernek/csoportnak van joga rdp-n belépni (Log on with Terminal Services vagy ilyesmi)
Valamit rosszul irhattam le szerintem : nem azzal van a bajom, hogy RDP-vel belépésüket szabályozzam, hanem azal, hogy milyen applikációkat tudjanak elinditani, mmc konzol, ilyesmi...
Az RDP-s részen túl vagyok, azzal semmi gondom..amit szeretnék az az, hogy ha belép kispista, akkor ne tudjon bizonyos alkalmazásokat elinditani, pl. amelyek rendszerkritikusak..
Tudom, az lenne a legegyszerűbb, ha a DC-re be se engedném, de szerintem muszály lesz...
Kipróbáltad a dolgot? Merthogy elvileg pl. a services.msc-hez helye Rendszergazdai jog kell. A domain szintű dolgokhoz meg domain szintű admin jog.
Attól, hogy rdp-vel be tud jelentkezni a user a szerverre még semmi komolyat nem tud tenni. Próbáld ki!
