banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành Windows Giới hạn quyền của user trên PC khi logon vào domain  XML
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 20/07/2007 13:57:50 (+0700) | #1 | 72507
soccon
Member

[Minus]    0    [Plus]
Joined: 23/10/2005 17:18:03
Messages: 28
Offline
[Profile] [PM]
Chào mọi người, hiện nay mình đang gặp một vấn đề trong việc quản lý windows server 2003.
Hiện mình đang quản lý một con server chạy windows server 2003 và 15 PC khác chạy windows XP. Con server mình đã nâng lên thành Domain Controller và các máy XP đều đã logon vô domain ngon lành thông qua 15 tài khoản user khác nhau. Nhưng bây giờ mình gặp một số vấn đề là:

1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC.

2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào?

- Máy server của mình có 2 card mạng, hiện tại mình chỉ sử dụng 1 cái cắm vô HUB, còn một cái vấn để không chưa sử dụng. Máy server có IP là 192.168.1.254
- Modem có IP là 192.168.1.1 và cũng đang được cắm vào HUB.
- Các máy PC có dải IP là 192.168.1.X và cũng đang được cắm vào HUB.

Rất mong mọi người chỉ giáo cho biết cách giải quyết 2 vấn đề trên. Nếu có thể cụ thể bằng hình được thì mình rất cám ơn, còn nếu không mong các bạn làm ơn nói rõ một chút vì mình rất yếu về quản trị nên sẽ rất khó hiểu nếu các bạn viết tắt.
Rất cám ơn mọi người đã đọc bài này. Mình mong chờ sự giúp đỡ của các bạn.
[Up] [Print Copy]
  [Question]   Re: Giới hạn quyền của user trên PC khi logon vào domain 20/07/2007 14:07:26 (+0700) | #2 | 72508
WolfFire
Member

[Minus]    0    [Plus]
Joined: 17/05/2007 02:08:12
Messages: 42
Location: Bloody Roar
Offline
[Profile] [PM]
vấn đề này thì bạn mua thêm 1 máy nữa để làm ISA
Theo mình mô hình như vậy rất dễ quản lý,tất nhiên là đáp ứng mọi yêu cầu của bạn
smilie)
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 20/07/2007 14:39:37 (+0700) | #3 | 72512
[Avatar]
qhoa83
Member

[Minus]    0    [Plus]
Joined: 08/01/2007 04:28:10
Messages: 149
Offline
[Profile] [PM] [Yahoo!]
Lại thêm một đồng chí cần help về Windows : PM for me : YM : qhoa83.
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 21/07/2007 06:03:11 (+0700) | #4 | 72677
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
chỉ cần giới hạn quyền của User bằng Policy, những điều bạn muốn làm ở trên đều có thể làm được bằng Policy .
Khi user đã join vào domain, dù cho họ ko logon vào domain thì security policy vẫn được áp đặt đối với user.
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 21/07/2007 07:57:24 (+0700) | #5 | 72702
[Avatar]
qhoa83
Member

[Minus]    0    [Plus]
Joined: 08/01/2007 04:28:10
Messages: 149
Offline
[Profile] [PM] [Yahoo!]
Đính chính lại câu này : Nếu pc không join vào domain thì không chịu sự sự quản lý policy của domain . Bạn nhầm nhẫn khái niệm Global và Local . Khi không join vào domain thì nó là local. Mà local thì nó chịu sự quản lý của ta hê hê
[Up] [Print Copy]
  [Question]   Re: Giới hạn quyền của user trên PC khi logon vào domain 14/01/2008 03:08:23 (+0700) | #6 | 110075
ngomita
Member

[Minus]    0    [Plus]
Joined: 13/01/2008 11:46:47
Messages: 3
Offline
[Profile] [PM]
Tôi cũng đang cần làm như bạn soccon đó, xin các pác chỉ giúp cho, có thể đưa lên đân dùm, rất cám ơn, hoặc xin mail cho tui ngomita@yahoo.com. Thành thật cám ơn các pác.Tôi đang cần gấp lắm.
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 14/01/2008 04:24:14 (+0700) | #7 | 110087
thangdiablo
HVA Friend

Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]

soccon wrote:
Chào mọi người, hiện nay mình đang gặp một vấn đề trong việc quản lý windows server 2003.
Hiện mình đang quản lý một con server chạy windows server 2003 và 15 PC khác chạy windows XP. Con server mình đã nâng lên thành Domain Controller và các máy XP đều đã logon vô domain ngon lành thông qua 15 tài khoản user khác nhau. Nhưng bây giờ mình gặp một số vấn đề là:

1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC.

2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào?

- Máy server của mình có 2 card mạng, hiện tại mình chỉ sử dụng 1 cái cắm vô HUB, còn một cái vấn để không chưa sử dụng. Máy server có IP là 192.168.1.254
- Modem có IP là 192.168.1.1 và cũng đang được cắm vào HUB.
- Các máy PC có dải IP là 192.168.1.X và cũng đang được cắm vào HUB.

Rất mong mọi người chỉ giáo cho biết cách giải quyết 2 vấn đề trên. Nếu có thể cụ thể bằng hình được thì mình rất cám ơn, còn nếu không mong các bạn làm ơn nói rõ một chút vì mình rất yếu về quản trị nên sẽ rất khó hiểu nếu các bạn viết tắt.
Rất cám ơn mọi người đã đọc bài này. Mình mong chờ sự giúp đỡ của các bạn. 


1.Để giải quyết vấn đề thứ nhất bạn nên tìm hiều về Group Policy trong môi trường Domain
2. Để giải quyết vấn đề còn lại bạn có thể triển khai 1 application firewall như ISA chẳng hạn.

Sau khi đã tìm hiểu và làm thử, khó khăn chỗ nào bạn post lên đây mọi người sẽ giúp.


Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 14/01/2008 14:01:27 (+0700) | #8 | 110159
No.13
Moderator

Joined: 25/08/2003 22:07:38
Messages: 500
Offline
[Profile] [PM]

mR.Bi wrote:
chỉ cần giới hạn quyền của User bằng Policy, những điều bạn muốn làm ở trên đều có thể làm được bằng Policy .
Khi user đã join vào domain, dù cho họ ko logon vào domain thì security policy vẫn được áp đặt đối với user.
 

qhoa83 wrote:
Đính chính lại câu này : Nếu pc không join vào domain thì không chịu sự sự quản lý policy của domain . Bạn nhầm nhẫn khái niệm Global và Local . Khi không join vào domain thì nó là local. Mà local thì nó chịu sự quản lý của ta hê hê 

Xem kỹ bài viết của mR.Bi nhé, Security Policy vẫn tác động bạn à.
[Up] [Print Copy]
  [Question]   Giới hạn quyền của user trên PC khi logon vào domain 15/01/2008 01:48:20 (+0700) | #9 | 110238
[Avatar]
haipt
Member

[Minus]    0    [Plus]
Joined: 20/08/2004 19:48:44
Messages: 165
Location: Hải phòng
Offline
[Profile] [PM] [WWW]

soccon wrote:

1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC.
 

- Hệ thống phải dùng NTFS file system ( bắt buộc )
Khóa mọi tài khoản trên máy cục bộ ( bạn phải khóa administrator ACCOUNT trên máy này(đặt pass ), xóa tất cả các user account khác hoặc disable) và chỉ cho phép user logon bằng domain account , đương nhiên chỉ cho phép user domain account có permission = usergroup trong máy tại chỗ của họ. như vậy user không thể cài đặt được các yêu cầu khác như cấm run, cẩm HDD permission thì đơn giản là chỉnh sửa registry hoặc(và) nhắp phải chuột vô driver name trong tab sercurities bỏ quyền truy cập đi là xong

soccon wrote:

2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào?
 

một khi bạn đã làm được bước 1 như ở trên thì vấn đề này khá dễ,bạn đăng nhập admin của máy cục bộ, cài chương trình chặn địa chỉ WEB hoặc loại nào đó tương đương như WDK , sau đó cho phép chương trình này tự khởi động khi boot máy( thường là có chức năng sẵn) hoặc ghi vào thằng vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lúc này nó sẽ tự kích hoạt khi máy khởi động , các limited account sẽ không có quyền xóa hay chỉnh sửa , HKEY_LOCAL_MACHINE, đương nhiên muốn KILL process sẽ gặp ngay thông báo lỗi access deniey, nếu muốn quan sát cả màn hình user thì cần dùng VNC....
Lưu ý có 2 đểm mấu chốt
+ NTFS ( cấm limit user truy cập vào system root hoặc các khu vực nhạy cảm --mặc định)
+ Chỉ cho phép user logon bằng domain account
Do vậy cần khóa cả BIOS SETUP của máy tại chỗ của người dùng, cấm khởi động = USB,CD,FDD hay DOS để tránh
bị hack admin account ,thậm chí nên giới hạn cả chương trình được phép chạy = software restriction policiess
+ Kiểm tra Cẩn thận với những service mà người dùng có thể tương tác dẫn đến vượt quyền ví dụ ,khi cấm mà bạn để user dùng SA account (SQL SERVER với XP_CMDSHELL enable) thì chẳng khác gì khóa cửa trước nhưng lại mở cửa sau.

Hope this help...............


[Up] [Print Copy]
  [Question]   Re: Giới hạn quyền của user trên PC khi logon vào domain 22/01/2008 15:06:30 (+0700) | #10 | 111526
[Avatar]
vi_tieu_bao222
Member

[Minus]    0    [Plus]
Joined: 24/09/2006 18:24:12
Messages: 31
Offline
[Profile] [PM]
bạn nói rõ vế chỗ này được ko :

" Khóa mọi tài khoản trên máy cục bộ ( bạn phải khóa administrator ACCOUNT trên máy này(đặt pass ), xóa tất cả các user account khác hoặc disable) và chỉ cho phép user logon bằng domain account ,"

[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|