Готовое решение для админа

@AMD · Регистрация: 23.10.2009

Студворк — интернет-сервис помощи студентам

Организация разрослась, пришло много новых сотрудников и начался полный бардак, запускают и качают что попало, устанавливают непонять что, весь винт замусорили. Вобщем надо навести порядок и сделать так что бы в будущем такого небыло.

Возник большой вопрос: есть ли мануал со стандартными настройками для организации, типа шаблона (какие папки закрыть, где оставить только чтение, что запретить и т.д.). Причем надо ни то Как устанавливать права, а где их надо устанавливать.

В организации стоит сервер на базе 2003 и рабочие станции XP, ничего особого офисный и бух софт.

magirus · 23.10.2009, 17:18

пришла пора поднимать домен (Active Directory)
АД это будет для юзеров, у тебя будет полный контроль.

если нет - ручками на каждой машинке перегонять юзеров из админов в рядовых пользователей, ставить пароли на учетки и биосы....
и постоянно это ножками и ручками контролировать.

ищи "уильям станек "windows server 2003 справочник администратора"

@AMD · 23.10.2009, 23:47 **[ТС]**

Да это то как раз понятно. Интересно что закрывать юзерам. Там же в итоге просто список типа пользователь/группа - привелегия. Да, список пользователей и есть, список привилегий есть, а что надо выставить не понятно. Вот допустим есть каталог "Program Files", спрашивается стоит юзерам перекрывать доступ на запись к этому каталогу и его подкаталогам или нет ? И такие вопросы по всем привилегиям, ставить галочку или нет.

@IT_Exp · 23.10.2009, 23:58

AMD,
первое что нужно сделать - выкинуть всех из локаладминов - гооглить Group Policy Restricted Groups

@GAV_13 · 24.10.2009, 00:00

AMD, не стоит перекрывать доступ в этот каталог - а то часть программ у них просто не пойдет. Просто через реестр пиши список разрешенных приложений - соответственно, пользоваться тем же 1С они смогут, а вот запустить установку CS - уже нет

@odip · 24.10.2009, 20:43

Купи сначала книжку по администрированию Windows в больших организациях.
Когда изучишь - то можешь начать внедрять домен.
Сразу приготовься что дело пойдет тяжело и долго.
Очень желательно заручиться поддержкой начальства !!!

Обычно так - ставится новый компьютер - сервер с доменом.
А потом компы организации по одному подключаются к домену.
Стандартное правило - пользователь работает в компьютере под логином ограниченного пользователя - НЕ АДМИНИСТРАТОРА.

Каталоги можешь не перекрывать ( то есть не меняй права на них !!! ) - как только у юзера будут ограниченные права, то шансы поломать систему у него резко упадут

magirus · 24.10.2009, 20:48

Сообщение от odip

Купи сначала книжку по администрированию Windows в больших организациях.

Уильям Станек, Windows server 2003, справочник администатора.

Добавлено через 33 секунды

Сообщение от AMD

Интересно что закрывать юзерам

достаточно будет их в просто юзеров вывести....

@serg.smart · 08.11.2009, 16:50

Не очень понял пользователи скачивают на сетевой диск или на локальные. В любом случае это разные задачи - с сервером попроще, защитить локальные диски сложнее.
Самое плохое - это когда юзеры ставят себе нелицензионный софт как раз накануне проверки какого-нибудь ОБЭПА

@brutal111 · 15.12.2009, 12:16

а може стоит попробовать через Terminal Services Web Access?!
Даёшь пользователям только те программы которыми они пользуются.

@Bear74 · 16.12.2009, 06:58

Не вижу проблемы.
Поднимаем AD. У пользователей забираем права локальных администраторов. В домене все пользователи - пользователи. Офисному софту типа MS Office, 1C, The Bat, Qip Infium этого вполне достаточно. На такие вещи как ПФР, ручками выдаем права записи в папку. Поднимаем проксю с фаерволом, например kerio winroute firewall. Режем как нужно хождение в инет. - первый шаг к порядку сделан, далее тонкости и ньюансы.
Если есть возможность, рекомендую сразу осваивать 2008 сервер. Материала в инете грамадье, гугл тебе в помощь.

@serg.smart · 18.12.2009, 19:53

Все это здорово про АД и остальное, но если у человека опыта нет, запарится это делать. А как только опыта наберется - отвалит в другую контору. Я в конторах, оставляемых без присмотра и без админа ставлю битдиск и никаких АД. Минусы свои есть, они очевидны, но и плюсов полно. Накачал чел себе порнухи, с утра пришел - а там ничего нету. Поставил скринсейвер модный - перегрузил и "куда все делось?". Короче в качестве огнетушителя, когда в конторе бардак, а начальство кричит и топает ножками, вполне можно использовать. Ну и когда админа нет тоже отлично...

@Bear74 · 18.12.2009, 23:26

Сообщение от serg.smart

Все это здорово про АД и остальное, но если у человека опыта нет, запарится это делать. А как только опыта наберется - отвалит в другую контору. Я в конторах, оставляемых без присмотра и без админа ставлю битдиск и никаких АД. Минусы свои есть, они очевидны, но и плюсов полно. Накачал чел себе порнухи, с утра пришел - а там ничего нету. Поставил скринсейвер модный - перегрузил и "куда все делось?". Короче в качестве огнетушителя, когда в конторе бардак, а начальство кричит и топает ножками, вполне можно использовать. Ну и когда админа нет тоже отлично...

Ты сейчас воду льешь. А интересующийся человек спросит что да как сделать, и ему в порядке вопросов пояснят знающие люди... например я не обломаюсь, и шаг за шагом помогу настроить сеть, а лирику давайте приберегем для сайтов типа "лайв жорнул".

@serg.smart · 19.12.2009, 02:32

Ну то есть совет "поставить АД и раздать права" (человеку который в сетях и правах не очень) - это однозначно дельный совет, а совет заморозить клиентские машины это "воду льешь"? Заметьте - я нигде не написал, что АД это ерунда и нафиг не надо. Я применяю оба подхода и так как про использование АД Вы уже написали, я решил немного расширить кругозор топикстартера и показать другой путь. Мне все равно, что он выберет, но наличие альтернативы еще никому хуже не делало.
Хотя, раз тут пошел обмен мнениями, я считаю, что совет развернуть АД в конторе человеку, который ничего в этом не понимает, достаточно рискованный. Тогда уж он должен звучать так: "Сходите на курсы, получите сертификат, обдумайте и сделайте". А то развернуть-то он развернет, а потом начнется "е-мое, что ж я сделал".

Новые блоги и статьи Все статьи Все блоги /
Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .

@AMD 0 / 0 / 0 Регистрация: 23.10.2009 Сообщений: 4

	Готовое решение для админа 23.10.2009, 17:09. Показов 3722. Ответов 12 Метки нет (Все метки) Организация разрослась, пришло много новых сотрудников и начался полный бардак, запускают и качают что попало, устанавливают непонять что, весь винт замусорили. Вобщем надо навести порядок и сделать так что бы в будущем такого небыло. Возник большой вопрос: есть ли мануал со стандартными настройками для организации, типа шаблона (какие папки закрыть, где оставить только чтение, что запретить и т.д.). Причем надо ни то Как устанавливать права, а где их надо устанавливать. В организации стоит сервер на базе 2003 и рабочие станции XP, ничего особого офисный и бух софт. 0

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	23.10.2009, 17:18
	пришла пора поднимать домен (Active Directory) АД это будет для юзеров, у тебя будет полный контроль. если нет - ручками на каждой машинке перегонять юзеров из админов в рядовых пользователей, ставить пароли на учетки и биосы.... и постоянно это ножками и ручками контролировать. ищи "уильям станек "windows server 2003 справочник администратора" 0

@AMD 0 / 0 / 0 Регистрация: 23.10.2009 Сообщений: 4
	23.10.2009, 23:47 [ТС]
	Да это то как раз понятно. Интересно что закрывать юзерам. Там же в итоге просто список типа пользователь/группа - привелегия. Да, список пользователей и есть, список привилегий есть, а что надо выставить не понятно. Вот допустим есть каталог "Program Files", спрашивается стоит юзерам перекрывать доступ на запись к этому каталогу и его подкаталогам или нет ? И такие вопросы по всем привилегиям, ставить галочку или нет. 0

@IT_Exp MCSD: APP BUILDER 8795 / 1074 / 104 Регистрация: 17.06.2006 Сообщений: 32,602
	23.10.2009, 23:58
	AMD, первое что нужно сделать - выкинуть всех из локаладминов - гооглить Group Policy Restricted Groups 0

@GAV_13 81 / 81 / 6 Регистрация: 14.09.2009 Сообщений: 252
	24.10.2009, 00:00
	AMD, не стоит перекрывать доступ в этот каталог - а то часть программ у них просто не пойдет. Просто через реестр пиши список разрешенных приложений - соответственно, пользоваться тем же 1С они смогут, а вот запустить установку CS - уже нет 0

@odip 7176 / 3234 / 82 Регистрация: 17.06.2009 Сообщений: 14,164
	24.10.2009, 20:43
	Купи сначала книжку по администрированию Windows в больших организациях. Когда изучишь - то можешь начать внедрять домен. Сразу приготовься что дело пойдет тяжело и долго. Очень желательно заручиться поддержкой начальства !!! Обычно так - ставится новый компьютер - сервер с доменом. А потом компы организации по одному подключаются к домену. Стандартное правило - пользователь работает в компьютере под логином ограниченного пользователя - НЕ АДМИНИСТРАТОРА. Каталоги можешь не перекрывать ( то есть не меняй права на них !!! ) - как только у юзера будут ограниченные права, то шансы поломать систему у него резко упадут 0

@serg.smart 19 / 14 / 2 Регистрация: 08.11.2009 Сообщений: 79
	08.11.2009, 16:50
	Не очень понял пользователи скачивают на сетевой диск или на локальные. В любом случае это разные задачи - с сервером попроще, защитить локальные диски сложнее. Самое плохое - это когда юзеры ставят себе нелицензионный софт как раз накануне проверки какого-нибудь ОБЭПА 0

@brutal111 0 / 0 / 0 Регистрация: 15.12.2009 Сообщений: 81
	15.12.2009, 12:16
	а може стоит попробовать через Terminal Services Web Access?! Даёшь пользователям только те программы которыми они пользуются. 0

@Bear74 8 / 8 / 0 Регистрация: 13.12.2009 Сообщений: 59
	16.12.2009, 06:58
	Не вижу проблемы. Поднимаем AD. У пользователей забираем права локальных администраторов. В домене все пользователи - пользователи. Офисному софту типа MS Office, 1C, The Bat, Qip Infium этого вполне достаточно. На такие вещи как ПФР, ручками выдаем права записи в папку. Поднимаем проксю с фаерволом, например kerio winroute firewall. Режем как нужно хождение в инет. - первый шаг к порядку сделан, далее тонкости и ньюансы. Если есть возможность, рекомендую сразу осваивать 2008 сервер. Материала в инете грамадье, гугл тебе в помощь. 0

@serg.smart 19 / 14 / 2 Регистрация: 08.11.2009 Сообщений: 79
	18.12.2009, 19:53
	Все это здорово про АД и остальное, но если у человека опыта нет, запарится это делать. А как только опыта наберется - отвалит в другую контору. Я в конторах, оставляемых без присмотра и без админа ставлю битдиск и никаких АД. Минусы свои есть, они очевидны, но и плюсов полно. Накачал чел себе порнухи, с утра пришел - а там ничего нету. Поставил скринсейвер модный - перегрузил и "куда все делось?". Короче в качестве огнетушителя, когда в конторе бардак, а начальство кричит и топает ножками, вполне можно использовать. Ну и когда админа нет тоже отлично... 0

@serg.smart 19 / 14 / 2 Регистрация: 08.11.2009 Сообщений: 79
	19.12.2009, 02:32
	Ну то есть совет "поставить АД и раздать права" (человеку который в сетях и правах не очень) - это однозначно дельный совет, а совет заморозить клиентские машины это "воду льешь"? Заметьте - я нигде не написал, что АД это ерунда и нафиг не надо. Я применяю оба подхода и так как про использование АД Вы уже написали, я решил немного расширить кругозор топикстартера и показать другой путь. Мне все равно, что он выберет, но наличие альтернативы еще никому хуже не делало. Хотя, раз тут пошел обмен мнениями, я считаю, что совет развернуть АД в конторе человеку, который ничего в этом не понимает, достаточно рискованный. Тогда уж он должен звучать так: "Сходите на курсы, получите сертификат, обдумайте и сделайте". А то развернуть-то он развернет, а потом начнется "е-мое, что ж я сделал". 1