Ситуация такова, есть два человека админ №1 и админ №2 и пользователь(ли).

Проблема:
1) админ №1 установил для пользователя ограничение на просмотр папки
а админ №2 взял да отменил это ограничение.
2) админ №1 установил для админа№2 ограничение на просмотр папки
а админ №2 взял да отменил это ограничение.
при этом админские права просто необходимы Админу №2 по службе.

Мне нужен третий вариант что бы админ№2 мог запретить и снять запрет на просмотр папки для пользователя, но не мог изменить решения админ№1, т.е. если админ№1 запретит пользователю что то делать, то админ№2 не мог бы это изменить, но что бы он мог это сделать в отношени другой папки (пока админ№1 до нее не доберется)

secpol.msc
Пример:
Есть такой параметр в полиси как создание объектов совместного пользования.
Нужно чтобы админ№1 и админ№2 имели разрешения, но что бы это разрешение для админ№2 не распространялось на админ№1. Т.е. мне нужна программируемая политика безоп.
Фактически это условный оператор.

У кого есть соображения по этому поводу?

ГЫ
а програмные методы на что?
не ужели нету каких нибудь скриптов в политике безопасности?
Да придеться повозиться, но оно того стоит.

Мне не мешают
я тут один админ. Но проблема есть. На кой хрен нужны эти политики , контролеры доменов их дублирование? Если такой простой вещи там нельзя настроить в принципе.
Где четкая древообразная иерархия?

И черт возьми как в таких условиях обеспечивать минимальную степень защиты информации и разграничения к ней доступа.

Гы.. скарее сиво адин из админоф присовываит тёлке из офиса и разрешаит ей за ета качать фабрику звёзд, а фтарова ета бесит, так как иму тёлка не даёт.

тьфу блин
Я тут один админ.

Получаеться что винда это такое монотеистичное образование и ни какого язычества.
Что бы Был Зевс и был Гермес, ну ни как....

Ведь черт возьми это было бы удобно.
А то
(гипотетическая ситуация) Настроил сервер ушел, пришел смотришь и мама родная на сервере уже куча какой то фигни.
Конечно можно решать организационными методами, но на кой черт тогда нужны компы? Где автоматизация?

А возгласы: "Уволить поганца который пользователям жить мешает" Не катят.

Мне нужен ответ можно ли такое настроить(пусть для этого даже придеться написать прогу(скрипт)) или это в принципе не возможно.

А сколько бы проблем решила такая прожка для отделов защиты инфы. Эх.

Ты можешь написать чё тебе надо ? Чё за бред ... админ№1-админ№2-"я тут один админ" :rolleyes:


1) есть администратор домена
2) есть администратор локального компутера

Есть куча палитик )) Главное чётко понимать на кой и на чё надобно разделение власти ...

блин, у меня все ок.
но вот сильно любопытно, как сделать такое.
Походу ты не знаешь как это сделать.

ладно у меня компов мало (30).
Ну дык если их 300-500 (знакомый работает)
Дык без штата(2-3 человека) не обойтись.
А если обойтись(что знакомый и демонстрирует), то проблемы начинают доставать.
Можно конечно создать пользователя и наделить его правами.
Можно создать админа №2 и урезать ему права.
Все это можно. Но принципиального решение проблемы нету.
Все через известное место.
Интересно как обстоят дела на фронте Юниха?

Объясняю ситуацию
Есть ТЕОРЕТИЧЕСКАЯ проблема(фактической нету все прекрасно)

Да есть Администраторы домена, а есть локальные все так.

Возьмем ЛЮБОЙ пункт из политики я подчеркиваю ЛЮБОЙ
Как сделать так , что бы этот пункт ИЗБИРАТЕЛЬНО принимал то или иное значение в зависимости от того на кого направленно действие и от множества других параметров(например времени суток и гороскопа на сегодня :) ).

if (бла бла условие выбора) then утвердительный ответ(имеет право) крайне примитивно, но суть раскрывает) else отрицательный


Возможно ли программировать(написать скрипт)
А такой вопрос?

вроде это "шезофренией" называют :D

все ж по-русски написано. :-)

например тут http://www.networkdoc.ru

пилите шура, пилите (с)

Устанавил винду - имей pass и login локальный;
Установил домен - имей раss и login администратора домена;
Много Вас админов - создай группу;
Разно ранговая работа в сети - раздай каждому права...
Юзеру бесправному - права соответстующие его статусу;
Юзеру продвинутому - один скрол от мышки и клавишу "Esc" :D ;

Подчинение по вертикали ... очень даж не плохо реализованны, так как не фантасты вояли , а реалисты ...
чай на одного девелопера аж десяток тестировщиков в мелкософте том.

Вот ответь мне на кой придумывать "велосипед" для 2х администраторов ? когда уже всё придумали ...
если Вы в тандеме - делите права;
если Вы "гадите" друг другу - на кой такая работа ?

а менять права по времени - это как менять абои на рабочем столе после перезагрузки ... :rolleyes:

проблемы в том, что папка с порнухой должна быть как открыта ... так и закрыта для него )) Двайное желание 2х админов в одном человеке ... :D lol

Всяко видал ... но такова (с)

все тема закрыта так как я хотел бы сделать. Сделать нельзя.
Максимум что можно так это через AD прописать несколько админов.
Со скриптами(аля автоматически настраиваемая и изменяемая конфигурация политики безопасности) можно побриться.
А всякие папки и зашифровать можно.

Я думал что полиси храниться в особом файле аля скрипт и что можно его перепрограммировать и внести дополнения. Ан нет.
Все жестко.

завидовать не хорошо:)

Я лично рад )) шта ты опытным путём решил сам свою "проблему" )) ;)

А вы подумайте..
По времени это только один из параметров.
Применение такой системе найти можно.
Жаль что это не возможно.

Возможно кто знает проги которые могут помочь при администрировании.

Если не топ сикрет - то зачем ? баян... про 2х админов я уже читал, занятно анн не убедительно (*это для личного антереса , так как "в одной кухне" работаем )

Если "реально" поставить задачу , можно найти "реальное" решение .

Это актуально будет для контор где компов не одна сотня.
а админов не 2 и не 3 а скажем целый отдел.
И допустим есть сотрудники которые могут работать синформацией в рабочии дни, а вот по выходным доступ нужно закрыть.
В рабочии дни применяеться один профиль а по выходным другой(все блокирующий). Чтоб к примеру не лазали пока админ отдыхает.
Ну вот на вскидку.

Или доступ к фалу или папке пользователь может получить если только два админа это ему разрешат(что то вроде сейфа с двумя ключами).

уморазмышления:
Отдел "ИТ" как правило иерархичен (*как правило )
1) разработчики;
2) тестировщики;
3) администратр СУБД;
4) системный администратор.
у каждого своя работа...
а вот Юзеры в субботу ... когда админ спит - жуткое дело :D

2е ключи и прочие девайсы софтовые - имеют место быть в отдельных программах )) Видал и такие... пользовать не имел надобности... Но, ты задел за живое (*стало интересно ) - пошукаю из запасов ...

задачи по расписанию )) это для него не подходят... Ему надо задавать параметры и давать разрешения от 2х и более человек .

да.

ууу...

к примеру
Есть спец по защите информации, а есть Главный технолог и нужно что бы и тот и другой дали добро на доступ обычным технологам. Главный технолог открывает доступ спец по защите проверяет можно ли открыть и дает свое добро на открытие= обычный технолог получает доступ.

Ну и фантазия у тебя однако.
Не ужели тебе не пригодилась такая фича?

Процедуру предоставления доступа я и без тебя знаю.
хочется автоматизировать этот процесс.
К то муже мой вариант значительнее удобнее и в способе тонкой настройки может дать сто очков форы бумажному.
Так что ....

Это уже не тебе решать какой способ нужнее и удобнее.
Я думаю как решить данную теоретическую проблему.
А ты все упираешь не в то как её решить, а в вопрос зачем мне это надо.
Программирование политик была бы замечательная штука.
Ты все норовишь убедить, что данный конкретный способ не нужен. Дык это частный способ применение такого способа программирования политик. Ну ну.

Однозначно, есть ситуации в которых данный метод бы пригодился. Автоматическая смена прав по достижении какого либо критерия определенного значения, например.

Гибкости в настройке нету. Все мышкой клац, клац, разрешил , запретил.
Блин.

а полный вариант можно посмотреть? для общего развития ;-)


ps. а вообще вы разговариваете о разных вещах. они безусловно пересекаются, но разница есть, и отрицать важность правильного распределения прав на доступ нельзя. друго дело, что автор темы немного мается дурью, вместо того, что читать умные книжки и экпериментировать.

но, все чего хочет автор - сделать можно :-) и ничего сложного в этом нет, или сложность задачи определяется самой задачей.

Значит таки можно.
Вот это другой разговор.
А про книжки: Активно читаю.
:)

Что там на счет прожек(для сисадмина)?

:)

эх, если б читал, то не задавал бы глупых вопросов
:)
а что именно то читаешь в данный момент?))) ну или в последнее время хотя бы, только честно

а ты говори, что тебе нать?) и будет тебе счастье
и вообще, тебя видео гордона дождидается если что
ну и уж если быть откровенным на все 100, то я уже устал ждать от тебя каталоги того, что у тебя есть

ну а если что надо, то велкам, по старой схеме

Безопасность глобальных сетевых технологий В. Зима А. Молдовян (Теория)
По той ссылке (практика)
На данный момент.

Можно настроить иерархию на основе AD.
Но все это не то.
Есть фиксированные вопросы в полиси на которые надо ответить да или нет(шаг влево, шаг в право).
Был бы скрипт можно было бы создавать новые правила, объединять несколько правил в одно (частично это можно сделать с помощью групп пользователей, но...)
Скрипта нет(в том виде) и разговор ни о чем.
Была бы технология, а приложения найдутся.

Сегодня вышлю, то что на винтах.
Встречу придется отложить, что то я себя не хорошо чувствую, нужен карантин, тьфу тьфу стук стук(по дереву).
А если я винт дам(вместо дисков)?

На счет прог. надо подумать. Что мне может пригодиться в будущем.

обещанного три года ждут =) так что можешь не торопится, тем более что, это тебе ж надо. не мне =)

винт. ну... а что будем делать с моей меркантильностью? :-) иначе мне интересно, хотя бы по причине банальной нехватки времени. ну а если у тебя чего хорошего найдется в каталоге, тогда да. можно будет подумать. =)

Какой ты меркантильный однако.:)
Может ну её эту меркантильность:)
пиво ты не пьешь. Или пьешь?)))))

Ты скажи, ты скажи че те надо, че надо ))))

И мстительный =))))

Прочитал все от начала до конца 3 раза, и ни чего не понял. Возможно что я тупой. Но терзают меня сомнеия что вы пользуетсь виндовозм. И как показывает практика виндовоз это тупик. Почитай и изучи классику например RSBAC. Конечно потратишь ты на настройку месяц, но потом это будет работать вечно и останется тебе только пиво пить, да порнушку смотреть.
И изучай теорию разграничения прав доступа по Беллу и ЛаПадулу а не по "хелпам" дяди билла :)

Спасибо за совет

"Беллу и ЛаПадулу" - это авторы книг ? если да , то каких?
пойду ка я после работы сделаю себе подарок на НГ.
куплю книжек хороших и разных:)))
И что такое RSBAS?

Хехе
Ставишь дефолтные права на родительскую папку с правами фуллконтрол для 1го и 2го потом 1ым меняешь право второго и фсе
Вообще ртфм, задавай вопросы на профильных форумах certification.ru ru-board.com etc.bash.ru
Читай книжки все, даже ms press, не слушай позеров
Перечитай про OU & GP в AD ;)

ИМХО вопрос вообще про нтфс а не GP

А так для GP если вынь2к3 скачай GPMC !