Авторизация



Теги сайта



0х0000007b 1c access control list acl activation active directory ad roles add route adexplorer apache authentication to zabbix bare metal recovery bg zsh bicycle books bruteforce ccna centos centos packet certificate change net adapter name chap chkrootkit chmod cinnamon cisco class clipboard cmd configuring cpu cores cron crontab csc custom object cut cvsup cvsup-without-gui db dekorator dev null 2 1 dhcp dhcp reservation disable ipv6 diskpart dism django dns domain naming master domain roles download download powershell enable routing on windows enabled encapsulation english english language esx eventlog fail2ban fastest_cvsup fedora fg zsh field formatdatabase freebsd fsmo get-aduser hardware https hyper-v idioms iis inheritance iperf iptables iscsi jobs kernel panic ldap ldap аутентификация zabbix limit lingualeo linux mcitp mcsa memory check method microsoft mod_ssl mount mssql mysql mysql user password netcache network network config network load balance cluster network scripts nginx nlb num lock numlock oop openssl pap partition pdc permissions pfx php pipeline pkg_version polymorphism ports upgrade portupgrade posix powershell ppp puppet pwdlastset python rdp regedit registry remote enable restrictions reverse proxy rhel rid rope jumping bridge мост прыжок высота route add route freebsd routing protocol rpm sc sc sdset sc sdshow schema scope script output secure web security service permissions services session set dns servers set ip address sftp shell script show variables snmp sound scheme sounds speed ssh ssl standard-supfile subinacl supfile switch switchport sync syncronization task sсheduler tempdb tripplite monitoring tweaks unix user must change password at next logon utf8 vim vlan vmware w32tm web windows windows 2003 r2 windows 2008 r2 windows firewall windows server windows server 2012 windows server backup windows service permissions windows пингалка winre wsus xargs xrdp yum zabbix zabbix external check zabbix ldap authentication zsh автоматическое обновление портов freebsd автономные файлы активация английский язык база данных безопасность active directory буфер вело велосипед видео включение роутинга в windows внешняя проверка zabbix вредоносное программное обеспечение posix задание двумерного массива звуки звуковая схема идиомы иероглифы киев кодировка командная строка конфигурация сети маршрутизация маршруты в freebsd маршруты в redhat linux область обновление портов ограничения windows основные команды пакеты centos перевод перенос планировщик задач покатушки полет над днепром проблемы кодировки протокол путь развития в it разрешения служб windows регистрируем cmd скриптом недоступность хоста реестр резервирование ip скриптом роли домена русские символы синхронизация скачать скачать powershell скачать книгу скорость сети списки контроля доступа тарзанка твики фоновые процессы цикл mssql

Разрешить не администратору перезапуск службы Windows Печать

Для того чтобы предоставить права пользователю на управление службой в линейке Microsoft Windows 2003, проделываем следующие шаги:

 

  • Добавляем с помощью оснастки compmgmt.msc нужного пользователя в группу "Remote desktop users", чтобы разрешить ему подключаться к нашему серверу через терминал.
  • Устанавливаем утилиту, входящую в состав набора Windows 2003 Resource Kit, SubInACL (ссылка (135.43 Кб) [скачано:2739 раз(а)]).
  • По желанию добавляем путь к утилите в системную переменную Path (My Computer -> Properties -> Advanced -> Environment Variables -> System variables -> Path {%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\WINDOWS\system32\WindowsPowerShell\v1.0;C:\Program Files\Windows Resource Kits\Tools})
  • Разрешаем пользователю DomainLocal\User запуск (T) и остановку (O) службы ArcGIS License Manager:

 

C:\Documents and Settings\admin> subinacl /service "ArcGIS License Manager" /grant=DomainLocal\User = TO

ArcGIS License Manager : new ace for
DomainLocal\User
ArcGIS License Manager : 1 change(s)


Elapsed Time: 00 00:00:00
Done:        1, Modified        1, Failed        0, Syntax errors        0
Last Done  : ArcGIS License Manager

C:\Documents and Settings\admin>

Другие параметры команды SubInACL :

F : Full Control
R : Generic Read
W : Generic Write
X : Generic eXecute
L : Read controL
Q : Query Service Configuration
S : Query Service Status
E : Enumerate Dependent Services
C : Service Change Configuration
T : Start Service
O : Stop Service
P : Pause/Continue Service
I : Interrogate Service
U : Service User-Defined Control Commands

 

 

Другой способ решения

Данную задачу можно также решить с помощью встроенной Windows команды SC.  Этот способ описан в одной из моих статей (ссылка).

 
Включаем роутинг в Windows Печать

Открываем редактор реестра Windows regedit.exe и меняем значение одного параметра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters
"IPEnableRouter" REG_DWORD = 0x00000001 (1)

 

После чего перезагружаем компьютер.

 
Отключение/включение административных ресурсов C$, Admin$ Печать

Как быстро управлять административными общими ресурсами (шАрами) Windows, такими как Admin$, C$, D$ и т.п. применительно к локальному компьютеру, а также с помощью групповых политик Active Directory

 

ЛОКАЛЬНО

Включить и отключить административные общие ресурсы можно с помощью скрипта - ссылка (672 б) [скачано:2755 раз(а)].
(в Windows Vista, Windows 7 и Windows Server 2008, при включенном UAC, скрипт необходимо запускать с повышением администратора).

@echo off

:START

set sharestate=unexpected
set /P sharestate="Изменить состояние административных ресурсов Admin$, C$...  [on, off]: "
if %sharestate% == unexpected exit


if %sharestate% == on  (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 1) else (
      if %sharestate% == off (reg add HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /f /v AutoShareWks /t REG_DWORD /d 0) else (
            echo .
            echo "Указан неверный параметр ("on" - для включения административных ресурсов, "off" - для отключения административных ресурсов, пустая строка - для отмены и выхода)"
            echo .
            echo .
            set sharestate=unexpected
            GOTO START
            )
   )


echo .
set rebootservice=no	
set /P rebootservice="Перезагрузить компьютер?  [yes, no]: "

if %rebootservice% == yes (shutdown -r -t 0 && exit) else (
echo .
echo "Для вступления изменений в силу перезагрузите компьютер вручную"
echo .
)

pause
exit

 

ВКЛЮЧАЕМ АДМИНИСТРАТИВНЫЕ РЕСУРСЫ И ЗАЩИЩАЕМ ЭТИ НАСТРОЙКИ С ПОМОЩЬЮ ГРУППОВЫХ ПОЛИТИК ACTIVE DIRECTORY

Для домена на базе 2003-х домен-контроллеров понадобится скрипт в автозагрузку, который можно быстро составить с помощью информации представленной выше. Что же касается 2008-го домена - тут можно все сделать более правильно:

  • С помощью доменной оснастки Group Policy Management создаем новую групповую политику и открываем ее на редактирование
  • Переходим Computer Configuration -> Preferences -> Windows Settings -> Registry
  • Жмем правой кнопкой мыши на рабочую область или категорию Registry и выбираем пункт "New -> Registry Item". (Для наглядности можно поместить параметр в заранее созданное дерево с помощью Collection Item, или используем Registry Wizard).
  • Заполняем поля
    Action: Replace
    Hive: HKEY_LOCAL_MACHINE
    Key Path: "SYSTEM\CurrentControlSet\services\LanmanServer\Parameters"
    Value name: AutoShareWks
    Value type: REG_DWORD
    Value data: 1
    Base: Decimal

В принципе для решения нашей задачи проделанных действий достаточно. Однако я предлагаю также изменить разрешения на ключ реестра ...LanmanServer\Parameters, для того чтобы только доменные администраторы могли менять значения внутри ключа:

  • Переходим Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Registry
  • Добавляем новый параметр с помощью пункта контекстного меню "Add Key..."
  • В поле Selected key вставляем "MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters" и жмем ОК
  • Редактируем разрешения:
    CREATOR OWNER: оставляем разрешения как есть (Special permissions)
    SYSTEM: также оставляем все как есть (Full Control, Read)
    Administrators: снимаем галочку Full Control, оставляем (Read)
    Users: ничего не делаем (Read)
    Добавляем локальную группу Power Users: также даем ей разрешения только на чтение (Read)
    И, наконец, добавляем доменную группу Domain Admins: и даем ей полный доступ (Full Controll, Read)
  • В следующем диалоговом окне выбираем радиокнопку "Replace existing permissions on all subkeys with inheritable permissions" и нажимаем ОК

Все. Теперь все компьютеры, под действием нашей групповой политики, будут доступны для удаленного администрирования, а также всякого рода тулы для локального отключения удаленного доступа будут вываливать ошибку доступа.

 

Почему не получается достучаться до административных ресурсов с помощью учетной записи локального администратора и как это побороть читать здесь (ссылка).

 
<< Первая < Предыдущая 11 12 13 14 15 16 17 Следующая > Последняя >>

Страница 12 из 17