proNovell

А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо

"Телепаты в отпуске" (с) .. в каком смысле скрытого, от кого ..

Михаил Гусев писал(а):А не подскажет ли многоуважаемый ALL, как создать скрытого пользователя. Говорят, такое можно в НДС
Спасибо

Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

Андрей Фисенко писал(а):Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.

А что там такого хитрого .. назначаешь этому "скрытому" пользователю требуемые права на его контейнер, потом ставишь соответствующий фильтр на данный контейнер ( не наоборот ), ну и еще при желании до этого ( чтоб от этого пользователя была какая-то польза .. каламбур-с ) назначаешь security equivalence с определёнными объектами. ИМХО если человек способен осознанно выполнить подобные манипуляции, то "определенный уровень знаний" у него уже есть.

Вообще, похожие темы здесь уже проскакивали. Сошлись на том, что dsbrowse, например, еще никто не отменял. А товарищу, может, достаточно прикрыть browse на требуемого пользователя .. ну и там от админа спрятать что есть нехорошо.

Arkadi, Goblins Chief писал(а):Могу научить как это делать. Мне будет просто приятно обучить тебя.

Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Андрей Фисенко писал(а):Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

Андрей Фисенко писал(а):PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Что я и сделал. Моей квалификации не хватает, чтоб "откопать".

Vadziku писал(а):Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

Arkadi, Goblins Chief писал(а):А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?

Андрей Фисенко писал(а):

Arkadi, Goblins Chief писал(а):А ну-ка расскажи ка мне как обнаружиь такого "скрытого" юзера, даже имея S на ROOT.

Горячие финские парни.
Во-первых, ответ уже прозвучал. DSView и DSBrowse еще никто не отменял.
http://support.novell.com/cgi-bin/searc ... 944597.htm

Во-вторых, есть такая утиль, которая находит именно эти объекты.
http://www.novell.com/coolsolutions/tools/1098.html

В третьих, никто не отменяет статистику коннектов данного юзера (я уже писал про это).

В четвертых, имея под рукой утильку, которая на любой контейнер может дать прямое право S, много ума не надо...

Я ясно выразился или будем лить воду дальше?

Хм. Получается, что решение есть. Просто оно состоит из ряда промежуточных решений...

Постараюсь интереса ради найти свой же закопанный логин. Типа тренировка будет.

Vadziku писал(а):

Андрей Фисенко писал(а):Знаешь, я уже лет семь, как этим не балуюсь.
Как только понял, что скрыть все-равно нельзя насовсем, забросил эту затею.

Это из природы каталога, в общем-то, ясно.

PS.
Заметать следы надо уметь так, чтобы ты сам потом их не нашел.

Точно-точно. И отрезать этого пользователя от управления главным админом тоже не получится. Техника рассчитанная только на администратора с низким уровнем квалификации.

Именно это и требуется. Просто
а- сейчас по ряду причин с Новеллом не работаю
б- мне ЛИЧНО такое не нужно, попросили с бывшей работы, а зачем изобретать велосипед

Arkadi, Goblins Chief писал(а):

Андрей Фисенко писал(а):Я вам скажу, однако, такую вещь - скрыть пользователя в НДС нельзя!!!
Максимум можно создать юзера, которым нальзя порулить стандартными способами и которого не видно из стандартных утелеит администрирования. Вот и все.
Как минимум, статистику коннектов и консоль монитора еще никто не отменял.

Именно это человеку и надо. Уверенно могу сказать, что имея права S на контейнер можно напрочь отрезать права доступа к нему. Совместно с рядом действий это позволяет запрятать в контейнере администратора, которого, без определённого уровня знаний даже и обнаружить то нельзя. Особенно, если под тем логином никто не логинится, а он просто закопан, как партизанский тайник.

PS На казённом сервере у меня один такой "закопан". "Закапывал" старательно. Трастисы выделял по отдельности и все запрещал. Т.е. не пачкой. Года два уже как та ветка спрятана. Я уже и пароль то не помню. Благо, что он там не меньше 12 знаков и ой-как не прост.

Могу научить как это делать. Мне будет просто приятно обучить тебя.

Я жду

Михаил Гусев писал(а): Я жду

Начнём.
O=EMA.
Внутри неё содаём OU=HIDDEN
Внутри OU=HIDDEN.O=EMA создаём CN=STEPAN
Даём ему права S на OU=HIDDEN.O=EMA
Заходим под логином STEPAN.HIDDEN.EMA

Зашли.

Запустили NWadmin.

Нашли в дереве HIDDEN.EMA
Правая кнопка мыши. "Трастис оф Тис обджектс".
Видим слева "Инхеретейбэел Райтс Фильтэр".
Заходим туда. Перед тобой слева "Обджектс ррайтс".
Убираём всё.
Далее справа "Проперти райтс".
Можно взять и убрать сразу всё. ("Алл пропертис" убрать все флажки.)
Тут правда подлезть легко можно. Чтоб сделать ооочень сложным легальный обход надо выбрать "Селект Пропертис" и для каждой позиции снять флажки.

Всё.

Заходи под прежним админом и попробуй найти STEPAN.HIDDEN.EMA
Да, не давай STEPAN.HIDDEN.EMA права на файловую систему!
Это легко ловится.
Дай только S на ROOT. Внутри HIDDEN.EMA сделай элиасы на тома. Так удобнее будет.
Будет надо - зайдет этот STEPAN.HIDDEN.EMA, сам назначит себе права S на файловую систему, сделает своё "чёрное дело" и снова уберёт их. Негр в ночи.

Goblins Chief писал(а):Дай только S на ROOT

Тем не менее, легальный админ при внимательном просмотре увидит, что на [Root] имеет права какой-то "левый" пользователь (при просмотре списка Trustees объекта [Root]). И сможет их (эти права) обрубить, сводя смысл всей затеи практически к нулю - как я понимаю, именно это (в том числе) имел в виду Андрей Фисенко.