12-01-2010, 05:50
|
מנהל פורומי "תכנות ובניית אתרים" ו"חומרה ורשתות"
|
|
חבר מתאריך: 25.10.01
הודעות: 42,775
|
|
לשאלתך לעניין מה שאני אמרתי ומה שקובי אמר:
אני אמרתי שאם אתה נותן לו אדמין, אתה לא יכול להגביל אותו מלעשות מה שהוא רוצה. זה אינהרנטי להגדרה "אדמין". השיטה של קובי היא לתת לו הרשאה פחותה מאדמין, ובכך, למנוע ממנו להסיר אותך מהרשאותיך. זה בהחלט פתרון טוב (בהנחה שהוא לא ניתן לעקיפה בדרכים אחרות, אני לא מומחה בחלונות למעט העובדה שאני יודע שתכנון האבטחה שם נוטה להיות לקוי...) - אבל זה לא מה שביקשת. ביקשת לתת הרשאת אדמין (כלומר *כל* מה שאדמין יכול לעשות), מבלי שאפשר יהיה להוריד לך את האדמין. זה, לעניות דעתי, בלתי אפשרי.
ובאופן כללי אין לי מושג איך מגדירים GPO שיאפשר לעשות מה שביקשת (ניהול משתמשים וקבוצות) מבלי שתוכל לנהל את הקבוצה Domain Admins, זו שמאפשרת לו להוריד לך את האדמין. אלא אם כן, שוב, הקבוצה הזו תועבר למקום אחר, ולא ינתנו הרשאות Admin, אלא Delegation על כל שאר המקומות בדומיין. (מה ששוב חוזר לטענה שלי: זה כבר לא אדמין אמיתי. וגם... מה יקרה כשהוא ייצור אובייקט GPO שחל על ה Domain Controller שמריץ משהו ב Startup של המכונה? צריך לחשוב על זה לעומק...). קובי?
|