Nisam bas siguran da li je to to sto ti trazis ali ajde:

Maras da sa Admin nalogom ides na:
Start > Programs > Administrative Tools > Services
Zatim nadji servis i idi na njegov Propeties pa pod Log ON stavkom,
ukucaj pod kojim userom ce se dizati taj servis.

Nije bitno pod kojim ce nalogom da radi servis.
Hocu da omogucim pojedinim korisnicima da po potrebi pokrenu ili zaustave odredjeni servis. Problem je sto ti korisnici ne smeju da imaju veca prava od 'obicnog' user-a.

Gde da startuje service? Na serveru ili na PC-u?

Postoji grupa power users, ako se dobro secam oni mogu da kontrolisu service

Korisniku treba omoguciti da startuje RAS. Glavni server pozove taj racunar, obavi sta ima i izloguje se. Korisnik onda stopira RAS i to je to. Ne moze da se vremenski programira jer je nepoznato kad ce server da zove. Korisnik ne sme da ima vlast nad bilo kojim drugim servisom niti bilo koja druga prava osim standardnih user prava.

pa zasto bi zaustavljao service????
Ostavis service da radi, a kontrolu ko i kada moze da se konektuje uradis u Remote Access Policies

napravis batch fajl koji kaze

@runas /user:tempadmin76543 net stop <service>

taj fajl treba da bude izvrsabilan ali ne i citabilan od strane korisnika koji to treba da izvrsava. pre toga kreiras juzera tempadmin76543 ili sl. kretensko ime bez pasvorda, sto je big tajm sekjuriti bric, ali je plus sto juzer ne zna tacno ime. also, mo's da kreiras policy koji zabranjuje login tempadminu.

hmmm velika rupa

Uf, kad ovo budem uradio javicu se dobrovoljno u 'Lazu'.

[Ovu poruku je menjao Mihailo dana 08.11.2001 u 09:05 PM GMT]

Vidi, uslovi su takvi da sigurnost mora da bude velika.
1. Covek iz centrale zove coveka u 'ispostavi' telefonom;
2. Covek u ispostavi startuje RAS;
3. Server u centrali zove racunar u ispostavi, uloguje se, uzme podatke, izloguje se;
4. Covek u ispostavi odmah nakon prekida veze zaustavlja servis;

Problem je sto je vreme zvanja nepoznato, a u medjuvremenu svima mora
biti zabranjen login.

Nadam se da sam konacno dobro objasnio.

Pogledaj RAS Policies, tamo mozes ne samo da das vreme kad neko moze da zove nego imas filtere za IP number, prijteljski telefon, prijteljske grupe/domain, pa jos ako mu stavis opciju call-back....

Znaci onaj ko hoce da ti uleti u mrezu mora da zna sledece stvari:
- na koji telefon da zove
- domain/user/password sa kojim moze da se loguje
- vreme (verovatno radnim danima)
- da zezne call-back
- da nadje dobar IP (nemoj da upotrebljavas DHCP)

To sto ti predlazes je dobro i poznato mi je od ranije, ali pogledaj prvu poruku.
Nisam je izmislio to resenje niti mogu da ga menjam.

Pa najsigurnije resenje je i najlakse da ugasis modem ili da izvuces steker od telefona.... to moze svaki korisnik da uradi!

A service ti moze onda neko iz centrale remote startovati!

Sto jednostavno kada moze komplikovano....mislim...ne razumem to da neko startuje RAS pa da ga gasi i slicno!Koji moj je onda izmisljen call-back....ako se plasite security-a....pa ubacite u opciju i poneki MS-CHAP2 pri autorizaciji usera!Batice....napravi jednu malo domensku-lokalnu grupu kojoj ces da udovoljis njihovim potrebama!!!

Nije mi jasno odakle dolazi pretnja ako covek u "ispostavi" ne zaustavi servis nakon prekida veze? Jel' on u nekom LAN-u tamo? Kom racunaru se preti - u ispostavi ili u centrali?

Ja sam, ako kapiram stvar imao slicnu situaciju. Evo kako sam je resio

1. Eksterna lokacija (PC, nije u mrezi) ima potrebu za povremenim pristupom mom LAN-u, tj preko mog servera bazi podataka na trecoj lokaciji.

2. Napravio sam dial-up usera

3. Napravio sam takodje VPN konekciju

4. "Eksterni" zove moj server. Dial-up (i Internet) Server prepoznaje caller's ID, prekida vezu, zove "eksternog"

5. Uspostavlja se dial-up konekcija. "Eksterni" startuje VPN konekciju, loguje se, dobija od DHCP servera rezervisanu adresu iz mog mreznog opsega.

6. RRAS-om (a ne RAS-om, toga nema kod win2k), tj policyjem odredjujem ponasanje ovakve konekcije, a to je rutiranje ISKLJUCIVO na staticku adresu servera u LAN-u koji ima servis potreban "eksternom", a to je opet rutiranje na server na trecoj, eksternoj (pomenutoj) lokaciji - tamo gde je baza podataka.

7. Po izvrsenom obavljenom poslu, "eksterni" sam prekida konekcije, s tim da nakon izvesnog vremena (koje ja odredim) moj dial-up server sam prekida vezu, bez obzira da li je "eksterni" zavrsio posao ili ne. U slucaju da nije, ceo postupak ide ispocetka.


Pojasnjenja:

U RRAS konzoli treba definisati vrstu VPN portova (pptp, l2tp), u routing interfaces, interface za tunel, u IP routing-general new interface, ponasanje tako definisanog tunel interfacea, staticku rutu, a u remote Acces policies, naravno VPN polisu za RRAS dial-in, tj VPN usera.