|
|
[ tomo tomic @ 04.02.2009. 13:10 ] @
|
| Zdravo,
Recimo da imam uspostavljenu domenu, Active directory...za 50 racunara.
Hocu da uspostavim file server, da svaki korisnik putem mapiranog diska pristupa tom file serveru sa svog racunara i na njemu pohranjuje bitne dokumente, pa me interesuje da li taj file server mora biti u istoj domeni kao i racunari. Hoću, na neki način, da izdvojim file server, da se sadrzaj koji korisnici pohranjuju na njemu kriptuje i da administrator file servera ne bude isti kao i onaj za domenu.
|
[ andre2000 @ 05.02.2009. 12:50 ] @
Hmm, ako želiš da ti pedesetak korisnika pristupa sadržaju na file serveru, a da ti taj server ne bude u domenu, to na prvom mestu znači da ćeš na tom serveru morati podesiti ručno 50 korisničkih naloga. Sa druge strane, možeš na file serveru koji je u domenu da pravima regulišeš sve, čak i da domen admin nema pristupa sadržaju, što ti je mnoooogo jednostavnije.
[ tomo tomic @ 06.02.2009. 11:49 ] @
Hvala na odgovoru!
Mozes li mi malo vise pojasniti upravo nacin na koji domen admin nema pristup sadrzaju na file serveru, nego samo admin file servera, i naravno korisnici (u slucaju kada je file server u domeni).
Hvala!
[ andre2000 @ 11.02.2009. 13:46 ] @
Sad, kad si me pitao kako to da se izvede, bacio si mi kosku za razmišljanje. Naravno da je prosto staviti "deny" prava na folderu za admina, nego sad razmišljam kako bih ja kao admin mogao to da zaobiđem, i da pristupim tom folderu, i kako sprečiti te "zaobilaznice". Javiću kad smislim nešto.
[ igor.vitorac @ 11.02.2009. 14:27 ] @
Citat: andre2000: Sad, kad si me pitao kako to da se izvede, bacio si mi kosku za razmišljanje. Naravno da je prosto staviti "deny" prava na folderu za admina, nego sad razmišljam kako bih ja kao admin mogao to da zaobiđem, i da pristupim tom folderu, i kako sprečiti te "zaobilaznice". Javiću kad smislim nešto.
Preuzmes vlasnistvo i postavis nove permisions. [ andre2000 @ 12.02.2009. 15:26 ] @
Citat: igor.vitorac: Preuzmes vlasnistvo i postavis nove permisions.
To naravno. Ali onda bih ja, kao admin, da hoću da pristupim tom sadržaju, lako mogao da se pretvaram da sam jedan od regularnih korisnika i sa njegovim nalogom da priđem sadržaju. Sa druge strane, ni fajl server van domena nije zaštita od ovakvog pristupa. Možda sa ograničavanjem računara koji mogu imati pristup tom sadržaju, ali opet i tu domen admin može da priđe autorizovanom kompu i da onda priđe sadržaju. Taf problem. A da domen adminu povećate kintu tri puta, ali da mu pripretite da dobija otkaz ako ga nanjušite blizu fajl servera? :) [ bachi @ 12.02.2009. 21:19 ] @
Ono što ne razumem, jeste zašto vam je takav čovek admin, ako nemate poverenja u njega?
Vidite, ja kao admin u svojoj firmi mogu da pristupim svim računarima, svim podacima, ama baš svima i ljudi to znaju i gle čuda, još uvek sam admin. :D
[ someone_bl @ 13.02.2009. 10:09 ] @
Admin moze svemu da pristupi i to ne mozes da sprijecis, cak i kad se kriptuje on je recovery agnet i moze da dodje do sadrzaja. (naravno pricamo ako je sistem uredan, i ne pokusava da pridje fajlovima koji sku kriptovani na nekom "formatiranom" racunaru sa kojeg nemam certifikat)
File server ne mozes da izmjestis iz domena ako sadrzaj hoces da kriptujes. Ako ne zelis da kriptujes onda moras da kreiras 50 korisnika id a rucno sve podesis, sto znaci da ako korisnik promijeni password ti ga moras rucno promijeniti na tom file serveru.
[ brainbuger @ 13.02.2009. 10:39 ] @
Ili da koristiš neki drugi alat za enkripciju kao što je recimo True Crypt ( http://www.truecrypt.org ) pa da preko njega na tom file serveru enkriptujes celu particiju ili deo podataka koji mogu mountovati useri (oni koji znaju pass).
Ali i meni ovo ograničavanje admina u njegovom sopstvenom domenu već gubi smisao onoga što domen predstavlja. Ako želi on će sigurno doći do tih podataka. Prema tome, domain admin ipak mora biti osoba u čije sposobnosti i karakter imate puno poverenje.
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.
|