Централизованное управление порой вызывает у некоторых пользователей негативную реакцию. При этом опытные пользователи вполне могут наложить ограничения на реализацию тех или иных функций управления. Рассмотрим некоторые такие возможности.

ПримЕчАниЕ Опытный пользователь, работающий на локальном компьютере, всегда может получить пароль локального администратора, необходимый для выполнения описываемых операций, использовав, например, способы восстановления пароля администратора.

Исключение компьютера из домена.

Один из самых эффективных способов блокирования централизованного управления - это исключение локальной системы из домена. Достаточно отключить компьютер от сети, в свойствах системы изменить ее сетевую идентификацию - вместо домена указать одноименную рабочую группу. Мастер идентификации выдаст сообщение о невозможности удаления учетной записи компьютера в домене, но успешно завершит все локальные операции.

После чего необходимо создать локального пользователя, имя которого и пароль совпадают с данными пользователя домена. В результате пользователь сохранит практически всю функциональность работы в сети, но исключит любое централизованное управление.

"Технически" противостоять такому решению весьма сложно. Ограничения, которые может накладывать администратор домена для исключения такого варианта, должны основываться на анализе членства учетной записи компьютера в домене. Практически единственный способ - это включение политики ipsec и настройка ее на разрешение сессий только с членами домена. Однако такой вариант неприменим в случае наличия в сети рабочих станций с операционными системами предыдущих версий, которые также не являются членами домена.

Отключение совместного использования административных ресурсов.

Локальный пользователь может отключить создание административных ресурсов, если добавит параметр

AutoShareWks : DWORD = 0

в ветвь реестра

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters (Для восстановления необходимо удалить этот параметр.)

Следует учитывать, что отключение этих ресурсов может нарушить работу имеющейся в домене системы управления.

Исключение администратора домена из группы локальных администраторов.

Поскольку локальный администратор имеет полные права над своей системой, то он может ограничить администратора предприятия, исключив его из группы локальных администраторов. В системах с Windows NT 4.0 против такого решения практически не было "противоядия". C Windows 2000 и далее появилась возможность регулировать членство в группах с помощью групповых политик. Хотя практика контроля состава групп локальных администраторов вызывает крайнее недовольство рядовыми пользователями, но администратор предприятия может самостоятельно определить список членов этой группы.

Блокировать такой вариант можно, только приняв меры по недопущению применения групповой политики для данной системы (блокировав порты на транспортном уровне), но работа полученной системы будет существенно затруднена.

Блокировка администратора домена на уровне файловой системы.

С помощью ограничений доступа к файлам локального компьютера можно запретить, например, конкретным администраторам домена локальный вход в систему. Для этого следует установить для учетной записи такого администратора запрет доступа к файлам nddagnt.exe, userinit.exe, win.com, wowexec.exe. Выполнять операцию следует внимательно, чтобы случайно не запретить доступ, например, самому себе.

Примечание Данная рекомендация может быть использована также при приеме на работу нового администратора. Поскольку в системе нет штатных средств ограничения локального входа администратора, то это, по сути, единственный способ защиты наиболее ответственных участков от непрофессиональных действий нового, непроверенного работника.

Конечно, данное ограничение нельзя рассматривать всерьез, поскольку, например, групповой политикой (если не заблокировать ее) администратор домена может восстановить права доступа к значениям по умолчанию.

Блокирование групповой политики.

Поскольку основное управление осуществляется через применение групповых политик, то целью локального администратора может являться изменение ограничений, налагаемых групповой политикой, или полная ее блокировка.

Примечание В доменах Windows 2003 по умолчанию групповая политика не загружалась на медленных каналах связи. А поскольку для определения скорости канала использовалась оценка времени ответа на команду ping, то блокировка таких пакетов была самым простым методом отключения применения групповой политики. Во-первых, локальный администратор может переопределить параметры, установленные групповой политикой. Групповая политика для компьютера применяется при старте системы, а для пользователя - в момент его входа в сеть. Впоследствии система периодически проверяет изменения настроек групповой политики и применяет только обнаруженные изменения в групповой политике. Конечно, можно задать периодическое применение всех параметров групповой политики. В этом случае параметры, занесенные локальным администратором, будут вновь переписаны на централизованные. Но администраторы домена редко используют такие настройки, поскольку это существенно увеличивает нагрузку на контроллеры домена.

Поэтому если параметр настройки доступен для изменения локальным администратором, то он будет сохраняться в этом измененном состоянии фактически до следующей перезагрузки системы. А компьютер можно не перезагружать весьма долго...

Во-вторых, можно заблокировать применение всех политик, сохранив членство компьютера в домене. Например, поскольку групповые политики копируются в виде файлов с контроллеров домена (из папок SYSVOL), то можно создать такую настройку ipsec, которая будет блокировать SMB-трафик с контроллеров домена ("закрыть" порты 137, 139, 445).

Способы, к которым может прибегнуть локальный администратор для ограничения возможностей своего доменного коллеги, можно перечислять еще долго. Данная проблема имеет только одно принципиальное решение - это организационные меры, когда подобные действия локального администратора повлекут за собой "воспитательные меры" руководителей подразделений.

Изменения настроек системы при подключении ее к домену | Самоучитель системного администратора | Проблема аудитора


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31