Конференция VBStreets

[GSerg]

Есть задача почитать хороший мануал вообще и узнать нижеследующее в частности.

Есть сетка из хрюшек pro. Одна типа главная. Задача: иметь возможность легко и просто манипулировать настройками безопасности на всех остальных компах. Чтобы, значит, всё всем запрещать.
winfaq.ru в дауне, причём очень давно.
Искал в гугле, так он постоянно выводит меня на одну и ту же статью на разных сайтах. Вот кусок её:

Можно сконфигурировать права доступа на эталонном компьютере, который будет использован как базовый образ для установки на другие рабочие станции, гарантируя, таким образом, стандартизованное управление безопасностью даже в отсутствие Active Directory.

Что-то такое мне и нужно, собственно. И потом чтобы можно было прямо по сетке, всех разом (все профили должны быть одинаковые на неглавных компах).
Вот.

[Sebas]

Ну, домен те в помощь.


ЗЫ: winfaq.com.ru )))

[GSerg]

winfaq.com.ru не подходит. Последние обновления датируются 2001 годом, про XP написано, что она ещё не вышла на бету.

[areh]

в статье, из которой ты привел цитату, говорится об одной из возможностей в серверных версиях виндоуса, а именно о:

Службы удаленной установки (Remote Installation Services – RIS) позволяют создавать образы операционных систем или конфигураций целого компьютера, включая параметры рабочего стола и приложений. Затем можно предоставить эти образы пользователям клиентских компьютеров. Клиентские компьютеры должны поддерживать удаленную загрузку с использованием PXE (Pre-Boot eXecution Environment) ROM, либо должны быть загружены с гибкого диска удаленной загрузки.

это не совсем то что тебе надо...
а то что тебе надо я даже не знаю... может проще поставить серверную винду и поднять на ней ActiveDirectory?

[GSerg]

Видимо да.
Просто я где-то слышал, что есть такая фича в XP, такое вот удалённое управление с распространением на всех. Просто неудобно же повторять одни и те же действия столько раз, сколько компов...

[alibek]

winfaq.com.ru, раздел "Форум". Он вполне живет и здравствует.
Если можно завести домен, то все делается элементарно.
Если домена нет, а есть рабочие группы, то смысл статьи в том, чтобы все машины имели идентичные настройки и одинаковые учетные записи. Лучше всего это сделать, установив эталонную машину и размножив ее с помощью, например, Norton Ghost.

[alibek]

Советую не пропускать WinFAQ, полезного там много. Есть еще SYSAdmins, но там народ менее "добрый"

На мануал конечно не тянет, но кое-что попробую рассказать.

Есть два пути - с доменом и без. Лучше конечно с доменом, но народ этого не любит. Непродвинутый пугается страшилок, а продвинутый не желает, чтобы на его компе кто-то хозяйничал. Подозреваю, что у тебя именно такая ситуация, поэтому домен пропускаем.

Рабочие станции тоже можно конфигурить по разному. Лучше всего, если юзеры будут работать под юзером или под продвинутым юзером, а пароль админа будешь знать только ты. Но на это скорее всего тоже не согласятся.

Предлагаю такую эталонную машину.

Учетные записи:
int-admin - встроенный администратор. Переименовать стандартного "Администратор" или "Administrator", лишним не будет. Задать сложный пароль.
(nobody) - встроенный гость. Переименовать, заблокировать, задать сложный пароль и забыть его.
user - аккаунт, под которым будут работать пользователи. Задать пустой пароль, установить флажки "Сменить пароль при следующем входе", "Пользователь может менять пароль", "Срок действия пароля не ограничен". Аккаунт включается в группы Пользователи и (опционально) Администраторы.

Создать локальные группы "Local Logon", включить в эту группу админа и юзера (int-admin, user). Зайти в локальные политики безопасности и выставить следующие параметры:
Политика учетных записей (блокировки и пароли) - по желанию. Я обычно ставлю блокировку после 3 попыток на 15 минут, сброс после часа.
В политиках аудита включить аудит входа в систему и доступа к учетным записям.
В правах пользователя обратить внимание на параметры "Доступ к компьютеру из сети" и "Локальный вход в систему". В первом должны быть "Все", в последний параметр добавить группу Local Logon.
В политике безопасности обратить внимание на параметр "Дополнительные ограничения для анонимных подключений" (выставить по умолчанию). Кроме того, после установки второго сервис-пака эти параметры настраиваются так, что на комп ты удаленно вообще не попадешь; их придется исправить.

С файловой системой и файловыми разрешениями разбирайся сам, но я бы сделал построже.

Затем ставишь средства для удаленного управления.
Можно вообще ничего не ставить - стандартные средства Windows + AdminPak умеют многое, но они не всегда удобны в использовании.
Если есть возможность, я бы развернул SMS, но это громоздко и без домена почти нереально. Так что поставь какой-нибудь удаленный рабочий стол, службу удаленного запуска приложений и монитор. В условиях локальной сети тебе подойтут продукты DameWare или NetOp.


Когда поставишь весь софт и сделаешь настройки, снимаешь образ системы с помощью Norton Ghost и тиражируешь его на остальные машины. Почему Ghost? Потому что он многое умеет, в том числе, и клонировать системы на машины с различным железом. С другим софтом тебе вначале придется подготовить ОС к апгрейду.