[ОТВЕТИТЬ]
20.11.2012 07:43
OlegON
 
Кто подскажет, можно ли из командной строки и в автоматическом режиме на локальной машине не входящей в домен запретить группе "Администраторы" или "Administrators" (т.е. независимо от локализации) доступ из сети?
20.11.2012 08:39
student
 
Цитата:
OlegON Кто подскажет, можно ли из командной строки и в автоматическом режиме на локальной машине не входящей в домен запретить группе "Администраторы" или "Administrators" (т.е. независимо от локализации) доступ из сети?
посмотри в сторону secedit
например такой командой я восстанавливаю безопасность по умолчанию при необходимости (2000 и xp)
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
в свое время попался файлик пдф - управление групповыми политиками (там правда в основном про 2003 сервер) - посмотри в аттаче и если интересно - кинь в хранилище :)
Вложения
Тип файла: pdf part.pdf (750.9 Кб, 516 просмотров)
20.11.2012 11:29
OlegON
 
Спасибо, интересно. В Хранилище незачем, раз тут есть и к нужной теме прикреплено. Только вот не решает это проблему. Кстати, да, основная целевая система на 2003/2008. Но основное - автоматическая установка нужных ограничений в консоли, эта штука не сделает. Надо снять где-то шаблон, потом его закинуть на машину... В общем, увы, не то.
20.11.2012 12:07
student
 
Цитата:
OlegON Надо снять где-то шаблон, потом его закинуть на машину... В общем, увы, не то.
а ты ручками поменяй что надо и отследи что реестре меняется и правь реестр потом там где надо :)
21.11.2012 07:44
Radik
 
Цитата:
student а ты ручками поменяй что надо и отследи что реестре меняется и правь реестр потом там где надо :)
Да, я тоже так делал.
21.11.2012 08:00
OlegON
 
Вот нет у меня уверенности, что UUID-ы везде Админские совпадают...
21.11.2012 08:09
Propil
 

SubInACL
Может, оно?
21.11.2012 08:13
OlegON
 
ненене, смотрите еще раз задание.
1) из командной строки
2) автоматизированная фигня (т.е. для меня это обозначает, что не надо снимать где-то шаблоны и ставить их обратно файлами где-то еще)

т.е. в идеале что-то вроде gpedit /group:Administrators /NetAccess:disable
Попробую реестр покопать... Убогая винда какая...
21.11.2012 08:42
student
 
посмотри

Как узнать sid пользователя


либо через vbs\wmi

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set objAccount = objWMIService.Get ("Win32_UserAccount.Name='Администратор',Domain='ИМЯ КОМПА'")
Wscript.Echo objAccount.SID

можно еще глянуть
Хорошо известные идентификаторы безопасности в операционных системах Windows
21.11.2012 11:38
OlegON
 
Отлично, по второй ссылке нашел...
SID: S-1-5-32-544
Название: Администраторы
буду ловить изменение реестра...

Добавлено через 28 минут 8 секунд
Process Monitor ясности не внес :(
Стукнулся в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\SecurityService и не нашел ключ - отстал.

Чтобы понимать, что я хочу застукать - поясню. Запускаем gpedit.msc и там добавляем группу Администраторы в этот пункт...



кстати, очень полезный пункт с точки зрения антивирусности...
21.11.2012 14:55
student
 
посмотри

Group Policy Settings Reference for Windows and Windows Server


там есть соответствие политик ключам реестра

правда про
Deny access to this computer from the network
написано что это
User Rights security settings are not registry keys

:( реестр тут не поможет...
Опции темы


Часовой пояс GMT +3, время: 16:52.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.