несколько вопросов

[LADin]

Есть несколько вопросов по вин2003. Помогите разобраться...

1. Необходим пользователь с правами на добавление компьютеров в домен. Когда включаешь машину в домен, появляется запрос н ввод имени и пароля учетной записи с правами на добавление машин в домен. Вот как мне сделать такого пользователя, чтоб мог добавлять машины в домен, но при этом не относился к группе админов домена?

2. Проблема с политиками паролей. После выставления минимальной длины пароля, делаю попытку сменить себе пароль. Мин. длина стоит 7 символов. Ввожу 7-8-9-..15 символьный пароль, а мне сообщение выдается, что длина пароля должна быть не меньше 7 символов. Та же проблема со сложностью пароля, ставлю проверку на сложность. При попытке ввода пароля РЕАЛЬНО удовлетворяющего требованиям сложности, мне выдается сообщение, что пароль должен быть не меньше 7 символов и состоять из маленьких букв, заглавных....
Как настроить эти политики? Кто-нибудь реально делал это?

[MART]

1. Необходим пользователь с правами на добавление компьютеров в домен. Когда включаешь машину в домен, появляется запрос н ввод имени и пароля учетной записи с правами на добавление машин в домен. Вот как мне сделать такого пользователя, чтоб мог добавлять машины в домен, но при этом не относился к группе админов домена?

[snapback]6605[/snapback]

Из локальных групп:
POWER USERS (Привилегированные пользователи)-Члены этой группы могут создавать и модифицировать пользовательские учатные записи. Они могут также создавать новые локальные группы и включать членов в эти группы. Они могут добавлять и удалять пользователей в группах Power users? users и Guests. По умолчанию группа не имеет пользователей.

Из Доменных групп:
Account Operators (Операторы учетных записей) Члены этой группы могут создавать и управлять уч записями для пользователей, групп, компьютеров, находящихся в контейнере users, в контейнере Computers и в организационных единицак, кроме встроенной OU Domain Controllers. Но члены этой группы не могут вносить изменения в группы administrators и Domain Admins, а так же не могут изменять учетные записи любых членов этих групп. Члены э
той группы могут выполнять локальный вход на все DC данного домена, а так же могут завершать работу этих DC.

Источник: Полное руководство Windows Server 2003
АВтор: Кэти Айвенс и др. стрм 645,651


Думаю 2 вариант то что тебе надо?

[LADin]

MART, спасибо... второй вариант как раз для меня

[LADin]

Вот ещё вопрос нарисовался...
А можно ли сделать передачу всей информации между определенными двумя компьютерами сети защищенной каким-нибудь методом шифрования?
И как это сделать?

[demiurg]

Вот ещё вопрос нарисовался...
А можно ли сделать передачу всей информации между определенными двумя компьютерами сети защищенной каким-нибудь методом шифрования?
И как это сделать?

[snapback]6691[/snapback]

Во-первых, плохая идея задвать новый вопрос в старой теме.
Во-вторых, есть много разных методов организации шифрованных туннелей. Для Виндов самым древним и наиболее простым является PPTP с поддержкой сжатия и шифрования. Можно также посмотреть в сторону IPSEC. В общем гугль в помощь. Что-то вроде http://www.google.ru/search?hl=ru&q=%D1%88...0%B2+Google&lr=

[deepwalker]

Почитай Cisco.Designing.VPN.Security.pdf Там очень хорошо про все написано, правда по ангельски, ну да все равно привыкать надо : ))
И лучше всего все таки ipsec - есть в винде даже. Так что по идее можно не особо напрягаясь сделать защищенный обмен. Мне не требовалось, но я бы копал именно сюда. По моему в оснастке "Локальная политика безопастности" находится.

[demiurg]

Почитай Cisco.Designing.VPN.Security.pdf Там очень хорошо про все написано, правда по ангельски, ну да все равно привыкать надо : ))
И лучше всего все таки ipsec - есть в винде даже. Так что по идее можно не особо напрягаясь сделать защищенный обмен. Мне не требовалось, но я бы копал именно сюда. По моему в оснастке "Локальная политика безопастности" находится.

[snapback]6693[/snapback]

Мне даже где-то попадалась статья на русском как поднять ойписекс между оборудованием  D-link и Win2k. Хотя я думаю, что и с другим оборудованием алгоритм примерно такой же.

[kuguar]

хм, я бы сказал смотреть тебе в сторну VLAN. НУ или ставить какойнить сертифицированный VPN

[demiurg]

хм, я бы сказал смотреть тебе в сторну VLAN. НУ или ставить какойнить сертифицированный VPN

[snapback]6700[/snapback]

Да я бы даже сказал, что для начала нужно определится для каких целей и для какого траффика требуется шифрование, возможно что можно воспользоватья защищенной версией протокола, например, заменить http на https, telnet на ssh, ftp на sftp и т.д.

[LADin]

Всё... разобрался со всей этой мишурой. Буду ВПН настраивать... посоветуйте, что почитать можно по этому вопросу

[MART]

Есть несколько вопросов по вин2003. Помогите разобраться...

1. Необходим пользователь с правами на добавление компьютеров в домен. Когда включаешь машину в домен, появляется запрос н ввод имени и пароля учетной записи с правами на добавление машин в домен. Вот как мне сделать такого пользователя, чтоб мог добавлять машины в домен, но при этом не относился к группе админов домена?

Вот еще одно решение этой проблеммы:
Открываешь AD на корне домена правой клавишей свойства- групповая политика- изменить
 открываешь ветку конгфигурация Windows- локальные политики- назначение прав пользователя  там есть параметр Добавление рабочих станций у домену, дальше разберешься

[MART]

Мой совет с политиками работать очень осторожно:)
Было у меня тут дело года полтора назад, залез наставил, а потом мучился.
Посмотри не перекрываются ли у тебя политики безопасности, и юзай политики только на подразделениях (особенно если не совсем разобрался что к чему), тогда может будет прям на подразделении поставить галочку блокировать наследие политики и избежать проблем.

Думаю что со вторым вопросом возможно следующее перекрытие:
У тебя в параметрах безопасности домена стоят другие параметры, а ты руководствуешься параметрами безопасности выставленными для подразделения (или еще какой организац единицы хотя это одно и то же), а первая перекрывает вторую вот и все.

Понаписал конечно:( Ну надеюсь понятно.