Права на просмотр NDS

Обсуждение технических вопросов по продуктам Novell

Права на просмотр NDS

Сообщение Дмитрий Лапенко » 04 июл 2002, 10:00

В целях безопасности хочу отобрать у юзеров право на просмотр NDS NW 4.11 и оставить это право только у администратора. Как это правильно сделать с помощью nwadmin32?
Дмитрий Лапенко
 
Сообщения: 39
Зарегистрирован: 21 июн 2002, 22:03

Сообщение Влад А.Сокол aka Akina » 04 июл 2002, 10:31

Очень рискованное намерение. Не рекомендую. Поскольку для нормального функционирования они должны видеть некоторые объекты и некоторые их свойства.

Тем более что для [Public] это вообще делать низзя - не пойдет логин - а тогда вся идея рушится.

А сколь у тебя юзеров и контейнеров? Насколь развесиста клюква?
Влад А.Сокол aka Akina
 
Сообщения: 1326
Зарегистрирован: 05 июн 2002, 09:24
Откуда: Зеленоград, Москва, Россия

Сообщение Дмитрий Лапенко » 04 июл 2002, 11:33

Три десятка юзеров, десяток принтеров. Всё в одном контейнере.
Просто утилиты nlist и netadmin по умолчанию доступны всем и дают богатую информацию об NDS. А зачем это видеть обычному юзеру у которого нет прав на изменение и создание объектов? Можно конечно поубирать эти утилиты, раздать права на них.
Но если даже запрет просмотра NDS и может привести к траблам, тем не менее мне всё равно хотелось бы знать: как это можно сделать ? Хотя бы для того что бы знать.
Дмитрий Лапенко
 
Сообщения: 39
Зарегистрирован: 21 июн 2002, 22:03

Сообщение Струин Олег » 04 июл 2002, 12:03

А какие проблемы с безопасностью, если пользователи видят дерево. Если есть какие-то секретные данные в дереве, их и закрой.
Аватара пользователя
Струин Олег
 
Сообщения: 57
Зарегистрирован: 13 июн 2002, 09:24
Откуда: Ирбит

Сообщение Дмитрий Лапенко » 04 июл 2002, 13:20

Ты прав. Но можно сказать и по другому: если пользователи не обязаны видеть дерево и свойства объектов, то зачем они его видят? Кроме того, после просмотра структуры NDS появляется большое поле деятельности для социнженерии. Может я и утрирую, но тем не менее...

И всё-же, как в nwadmin32 реализовать это? Сейчас в списке опекунов контейнера только сам Контейнер и [Root]. Нужно добавить [Public] с соотв. правами просмотра контейнера? Что-то не получается пока....
Дмитрий Лапенко
 
Сообщения: 39
Зарегистрирован: 21 июн 2002, 22:03

Сообщение Струин Олег » 04 июл 2002, 13:54

Посмотри Trustys of... объекта [Root] и убери галочки [Browse] Object Right у [Public]. Но по-моему лучше поставь фильтры [Browse] на тех контейнерах которые хочешь скрыть. Не ставь фильры [Supervisor], а то можешь потерять контроль над частью дерева. :)
Аватара пользователя
Струин Олег
 
Сообщения: 57
Зарегистрирован: 13 июн 2002, 09:24
Откуда: Ирбит

Сообщение Музалёв Николай » 04 июл 2002, 13:56

Согласен с гм Соколом - не надо этого делать. Очень легко просто потерять контроль над деревом. Как то еще когда я был маленьким и только осваивал НДС , то изза подобного желания, не подкрепленного четким пониманием того, чего творю - это и получил. Дерево было эксперим. и его можно было снести, поэтому отдел. лег. испугом. Не повторяйте наши.
Музалёв Николай
 
Сообщения: 3034
Зарегистрирован: 04 июн 2002, 19:58
Откуда: Беларусь. МИНСК.

Сообщение Михаил Григорьев » 04 июл 2002, 15:20

Мне кажется легче действительно прикрыть доступ к утилитам администрирования..... и не мучиться...
Аватара пользователя
Михаил Григорьев
 
Сообщения: 1462
Зарегистрирован: 04 июн 2002, 12:22
Откуда: Челябинск

Сообщение Дмитрий Лапенко » 05 июл 2002, 08:22

Струин Олег писал(а):Посмотри Trustys of... объекта [Root] и убери галочки [Browse] Object Right у [Public].


Собсно я именно так и делал, сбрасывал галку Browse у [Public] на [Root]'е. Потом проверял с другой машины - дерево все равно просматривается. Ну ладно, хрен с ним, в конце концов действительно можно поныкать соответствующие утилиты. Но всё-равно хотелось бы на практике реализовать способ сокрытия дерева NDS.
Никто не пробовал? С отбором Browse у Public на Руте не прокатывает.
Дмитрий Лапенко
 
Сообщения: 39
Зарегистрирован: 21 июн 2002, 22:03

Сообщение dimk » 05 июл 2002, 09:43

У меня 2 организации в одном дереве. И я хотел чтобы вторая ( она появилась позже ) не видела дерева первой.
Итак: организации .O=A и .O=B
1. Убрал Public из опекунов ( trusties ) root
2. дал A просмотр A
3. дал B просмотр B
от root кроме меня страшного и ужасного :o) не просматривает.
И как это ни странно - все работает ( покрайней мере с новелловским клиентом ) только в новелловском клиенте нельзя из диалога выбрать конетекст и сервер - но это можно раз написать и все.
Кроме того в B сделал несколько алиасов: для сервера и группы из A
членами которой являются сотрудники B и для того чтобы они могли коннектиться на сервер из A. Не очень сложно ?
Я НЕ НЕСУ ОТВЕТСТВЕННОСТИ ЗА ВОЗМОЖНЫЕ ГЛЮКИ ВСЛЕДСТВИЕ ЭКСПЕРИМЕНТОВ И ПРЕДЛАГАЮ СНАЧАЛА ПРОВЕРИТЬ ВСЕ НА ТЕСТОВОМ ДЕРЕВЕ которое как я считаю должно быть у каждого админа :o)
dimk
 
Сообщения: 13
Зарегистрирован: 05 июл 2002, 09:20


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 62

cron