Latest posts for the topic "Giới hạn quyền của user trên PC khi logon vào domain"

Giới hạn quyền của user trên PC khi logon vào domain

soccon — GMT

Chào mọi người, hiện nay mình đang gặp một vấn đề trong việc quản lý windows server 2003. Hiện mình đang quản lý một con server chạy windows server 2003 và 15 PC khác chạy windows XP. Con server mình đã nâng lên thành Domain Controller và các máy XP đều đã logon vô domain ngon lành thông qua 15 tài khoản user khác nhau. Nhưng bây giờ mình gặp một số vấn đề là: 1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC. 2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào? - Máy server của mình có 2 card mạng, hiện tại mình chỉ sử dụng 1 cái cắm vô HUB, còn một cái vấn để không chưa sử dụng. Máy server có IP là 192.168.1.254 - Modem có IP là 192.168.1.1 và cũng đang được cắm vào HUB. - Các máy PC có dải IP là 192.168.1.X và cũng đang được cắm vào HUB. Rất mong mọi người chỉ giáo cho biết cách giải quyết 2 vấn đề trên. Nếu có thể cụ thể bằng hình được thì mình rất cám ơn, còn nếu không mong các bạn làm ơn nói rõ một chút vì mình rất yếu về quản trị nên sẽ rất khó hiểu nếu các bạn viết tắt. Rất cám ơn mọi người đã đọc bài này. Mình mong chờ sự giúp đỡ của các bạn.

Re: Giới hạn quyền của user trên PC khi logon vào domain

WolfFire — GMT

vấn đề này thì bạn mua thêm 1 máy nữa để làm ISA Theo mình mô hình như vậy rất dễ quản lý,tất nhiên là đáp ứng mọi yêu cầu của bạn :))

Giới hạn quyền của user trên PC khi logon vào domain

qhoa83 — GMT

Lại thêm một đồng chí cần help về Windows : PM for me : YM : qhoa83.

Giới hạn quyền của user trên PC khi logon vào domain

mR.Bi — GMT

chỉ cần giới hạn quyền của User bằng Policy, những điều bạn muốn làm ở trên đều có thể làm được bằng Policy . Khi user đã join vào domain, dù cho họ ko logon vào domain thì security policy vẫn được áp đặt đối với user.

Giới hạn quyền của user trên PC khi logon vào domain

qhoa83 — GMT

Đính chính lại câu này : Nếu pc không join vào domain thì không chịu sự sự quản lý policy của domain . Bạn nhầm nhẫn khái niệm Global và Local . Khi không join vào domain thì nó là local. Mà local thì nó chịu sự quản lý của ta hê hê

Re: Giới hạn quyền của user trên PC khi logon vào domain

ngomita — GMT

Tôi cũng đang cần làm như bạn soccon đó, xin các pác chỉ giúp cho, có thể đưa lên đân dùm, rất cám ơn, hoặc xin mail cho tui ngomita@yahoo.com. Thành thật cám ơn các pác.Tôi đang cần gấp lắm.

Giới hạn quyền của user trên PC khi logon vào domain

thangdiablo — GMT

soccon wrote:

Chào mọi người, hiện nay mình đang gặp một vấn đề trong việc quản lý windows server 2003. Hiện mình đang quản lý một con server chạy windows server 2003 và 15 PC khác chạy windows XP. Con server mình đã nâng lên thành Domain Controller và các máy XP đều đã logon vô domain ngon lành thông qua 15 tài khoản user khác nhau. Nhưng bây giờ mình gặp một số vấn đề là: 1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC. 2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào? - Máy server của mình có 2 card mạng, hiện tại mình chỉ sử dụng 1 cái cắm vô HUB, còn một cái vấn để không chưa sử dụng. Máy server có IP là 192.168.1.254 - Modem có IP là 192.168.1.1 và cũng đang được cắm vào HUB. - Các máy PC có dải IP là 192.168.1.X và cũng đang được cắm vào HUB. Rất mong mọi người chỉ giáo cho biết cách giải quyết 2 vấn đề trên. Nếu có thể cụ thể bằng hình được thì mình rất cám ơn, còn nếu không mong các bạn làm ơn nói rõ một chút vì mình rất yếu về quản trị nên sẽ rất khó hiểu nếu các bạn viết tắt. Rất cám ơn mọi người đã đọc bài này. Mình mong chờ sự giúp đỡ của các bạn.

1.Để giải quyết vấn đề thứ nhất bạn nên tìm hiều về Group Policy trong môi trường Domain 2. Để giải quyết vấn đề còn lại bạn có thể triển khai 1 application firewall như ISA chẳng hạn. Sau khi đã tìm hiểu và làm thử, khó khăn chỗ nào bạn post lên đây mọi người sẽ giúp.

Giới hạn quyền của user trên PC khi logon vào domain

No.13 — GMT

mR.Bi wrote:

chỉ cần giới hạn quyền của User bằng Policy, những điều bạn muốn làm ở trên đều có thể làm được bằng Policy . Khi user đã join vào domain, dù cho họ ko logon vào domain thì security policy vẫn được áp đặt đối với user.

qhoa83 wrote:

Đính chính lại câu này : Nếu pc không join vào domain thì không chịu sự sự quản lý policy của domain . Bạn nhầm nhẫn khái niệm Global và Local . Khi không join vào domain thì nó là local. Mà local thì nó chịu sự quản lý của ta hê hê

Xem kỹ bài viết của mR.Bi nhé, Security Policy vẫn tác động bạn à.

Giới hạn quyền của user trên PC khi logon vào domain

haipt — GMT

soccon wrote:

1. Mình muốn giới hạn quyền của user đối với các PC, ví dụ user A sẽ không được cài đặt các software lên máy tính, không được sử dụng hộp thoại Run, không được sử dụng ổ cứng trên máy PC (tất cả mọi người đều phải lưu dữ liệu trên ổ cứng trên máy chủ) ... và một số quyền hạn chế khác nữa. Mình đã lọ mọ trong Group Policy nhưng chẳng thấy đâu cả mà chỉ thấy giới hạn quyền của máy server thôi chứ chưa tìm thấy giới hạn quyền của user trên máy PC.

- Hệ thống phải dùng NTFS file system ( bắt buộc ) Khóa mọi tài khoản trên máy cục bộ ( bạn phải khóa administrator ACCOUNT trên máy này(đặt pass ), xóa tất cả các user account khác hoặc disable) và chỉ cho phép user logon bằng domain account , đương nhiên chỉ cho phép user domain account có permission = usergroup trong máy tại chỗ của họ. như vậy user không thể cài đặt được các yêu cầu khác như cấm run, cẩm HDD permission thì đơn giản là chỉnh sửa registry hoặc(và) nhắp phải chuột vô driver name trong tab sercurities bỏ quyền truy cập đi là xong

soccon wrote:

2. MÌnh muốn chặn một số địa chỉ web đối với từng đối tượng user một, ví dụ phòng sale thì được vào trang muaban.com nhưng phòng Hành chính thì không được chẳng hạn. Hiện tại mạng Lan của mình đang đấu theo mạng ngang hàng (modem, server, PC đều cắm chúng vào một HUB) do đó mình không thể cấm các user vào các địa chỉ trang web không được phép. Mình muốn hỏi là nếu muốn cấm thì phải đấu lại mạng theo mô hình nào?

một khi bạn đã làm được bước 1 như ở trên thì vấn đề này khá dễ,bạn đăng nhập admin của máy cục bộ, cài chương trình chặn địa chỉ WEB hoặc loại nào đó tương đương như WDK , sau đó cho phép chương trình này tự khởi động khi boot máy( thường là có chức năng sẵn) hoặc ghi vào thằng vào khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lúc này nó sẽ tự kích hoạt khi máy khởi động , các limited account sẽ không có quyền xóa hay chỉnh sửa , HKEY_LOCAL_MACHINE, đương nhiên muốn KILL process sẽ gặp ngay thông báo lỗi access deniey, nếu muốn quan sát cả màn hình user thì cần dùng VNC.... Lưu ý có 2 đểm mấu chốt + NTFS ( cấm limit user truy cập vào system root hoặc các khu vực nhạy cảm --mặc định) + Chỉ cho phép user logon bằng domain account Do vậy cần khóa cả BIOS SETUP của máy tại chỗ của người dùng, cấm khởi động = USB,CD,FDD hay DOS để tránh bị hack admin account ,thậm chí nên giới hạn cả chương trình được phép chạy = software restriction policiess + Kiểm tra Cẩn thận với những service mà người dùng có thể tương tác dẫn đến vượt quyền ví dụ ,khi cấm mà bạn để user dùng SA account (SQL SERVER với XP_CMDSHELL enable) thì chẳng khác gì khóa cửa trước nhưng lại mở cửa sau. Hope this help...............

Re: Giới hạn quyền của user trên PC khi logon vào domain

vi_tieu_bao222 — GMT

bạn nói rõ vế chỗ này được ko : " Khóa mọi tài khoản trên máy cục bộ ( bạn phải khóa administrator ACCOUNT trên máy này(đặt pass ), xóa tất cả các user account khác hoặc disable) và chỉ cho phép user logon bằng domain account ,"