Как получить лог, кто подключался по сетии что качал с компа

Админу положено ломиться туда, куда другие не могут

COBECTb, то бмшь, хочется блокировать доступ админа к компу... хм.. ну-ну... Но чегой-то я не уверен что сам он будет в восторге от такой идеи, и реакция не заставит ждать...

MRd:

Админу положено ломиться туда, куда другие не могут

Не согласен!

Точнее, не совсем согласен...

Пользователь имеет право на личную жизнь

Администратор может использовать административный ресурс (по умолчанию - c$) для возможности удалённого выполнения своих административных задач. Но это никак не должно касаться личной информации пользователя.

Соответственно предыдущим высказанным мыслям можно предложить следующий рецепт действий:

1. Административный ресурс на станции убить можно, но делать этого не следует Администратор будет зол и справедливо.

2. Простейший способ получить лог об использовании информации - установить аудит на доступ к объектам, содержащимся в каталогах. Но это слабое утешение, т.к. администратор может управлять аудитом.

3. Личную информацию сложить в один каталог и переопределить полномочия, лишив администратора прав. При этом, обязательно следует сделать себя владельцем каталога (owner), иначе администратор сможет менять полномочия на каталог, читать информацию, а потом опять менять полномочия. Если же владельцем каталога (и всех вложенных!) будет пользователь, то администратор не сможет поменять полномочия, не став владельцем (это возможно). А вот обратно сделать владельцем ресурса пользователя может только сам пользователь (береги свой сетевой пароль!).

P.S.

С полномочиями на системные каталоги лучше не баловаться, т.к. можно загубить систему

P.P.S.

Если что-то делаешь на станции, входящей в домен, то будь уверен в своих действиях и будь готов к ответственности за них!

P.P.P.S.

Как администратор, советую обратиться в вышеозначенной проблемой к своему администратору. Он сделает всё правильно и в соответствии с внутренним регламентом, действующим на фирме.

Удачи!

Не заходить в домен

Пока не столкнешься с этм, не поймешь

Сталкиваюсь последние десять лет

На работе платят не за личную жизнь, а за работу. Личной жизнью можно сколько угодно заниматься в личное же время и на личном компьютере.

Это в каждой конкретной фирме по разному.

Можно ведь и терминалы поставить всем юзерам, штоб не рыпались, да только я не припомню где-нибудь такой картины. Если хозяин не против, чтобы после выполнения служебных обязанностей при наличии свободного времени сотрудник занимался личными делами - какое тогда до етого дело администратору?!

Если, например, сотрудник начал заниматься с девушкой "личной жизнью" в офисе на рабочем столе, это будет выглядеть несколько.... э... странно...

А вот если он занимается тем же самым на рабочем компьютере?

Не поняла... На столе гораздо удобнее!

Или плохо то, что в офисе, т.е., на арендуемых не ими площадях?!

Или мы говорим о виртуальной "личной жизни"? В смысле, секс по переписке Пример не удачный, не серьёзный, я бы сказал...

А если у тебя появится "специалист", который начнет троянов и червей запускать со своего "личного компьютера"? Размножая и модифицируя их в том самом личном каталоге, на который админу закрыл доступ? Снифферов всяких - админские пароли ловить... Вируса обыкновенные....

А вот это уже личными делами никак не назовёшь!

За ето и по затылку дать можно, согласен. Но на то админы и существуют, чтобы пользователи не разбредались по кустам в поисках приключений.

Моё мнение, что во всём должен быть разумный компромис (если, конечно, мы не говорим об организации военного образца).

Если человек хочет держать на диске свою личную переписку, домашний бюджет, пару-тройку десятков музыкальных антологий - флаг ему навстречу! Он же ж только лучше работать будет! Убедить силой наших людей редко кому удавалось...

Dmitry:

Да, да, я имел в виду именно "виртуальную" личную жизнь, ведущуюся на компьютере, с использованием офисных ресурсов, каналов доступа и т.д. Конечно, пример шутливый, в том-то и весь смысл...

Знаешь, почему-то постоянно приходится выступать в роли "цербера", может, у меня уже тоже взгляд на такие вещи "замылился"...

Кстати, последнее время я очень серьезно посматриваю на терминалы...

ПиСюки - в общем-то, роскошь.

Помню, лет 6 назад, как буржуины удивлялись, придя однажды на экскурсию в мою старую контору -- "так у вас и инет у каждого, и почта, и компы полноценные"...

Они, судя по всему, не могут позволить себе такую роскошь, как позволять использовать сотруднику рабочее время и офисную технику в личных целях.

Согласен, это очень спорно, однако в этом тоже есть разумное зерно.

А компромисс - великое дело!!!

Да ничего спорного нет, пожалуй...

Наша беда в том, что нет чёткой формализации обязанностей сотрудников. Потому и невозможно поставить их в жёсткие рамки. Жизнь сразу заставит эти рамки расширять.

Хорошо на заводе. Там токарю не предлагают работу фрезеровщика, и наоборот. Вот и сидят они каждый за своим станком. Лепота!

Похоже, мы сильно уклонились от темы топика. То, куда мы свалились, можно обсуждать очень долго и, скорее всего, малорезультативно, т.к. славянский менталитет шибко плохо поддаётся формализации, стандартизации и прочим всяким "...циям". Это Вам, батенька, не Япония, мать её!

Сход сюды и возьми программку Hunter называется

http://dimeda.by.ru/

Она болтается в трее и показывает кто к тебе подрубился и что он с тебя имеет...

Вещь полезная.

COBECTb:

трабле в том, что у меня - своя фирма

слишком умный сисадмин может узнать слишком много...

короче, я так и не понял, есть ли способы кроме как остановки Server'а, лишить любого постороннего доступа к информации содердащейся на компутере?

если остановить Server то как администратор сможет его запустить? как его лишить этих полномочий? я слышал, что если поставить NT4, то проблема исчезает но появляется новая - NT4

есть ли конкретные логгеры доступа (не стандартный аудит)?

Вот у меня подозрение, что ты хочешь админа за руку поймать...

А правильнее было бы просто лишить всех соблазна....

См. предыдущий мой мессадж.

Marabu:

COBECTb:

трабле в том, что у меня - своя фирма

слишком умный сисадмин может узнать слишком много...

Если у тебя своя фирма, так и занимайся ею!

А администратору доверять надо, и платить соответственно.

В противном случае придётся самому заниматься администрированием, книжки умные читать, напряжённо бдить за посторонним доступом, а бизнес потихонечку захиреет...

Самное дельное предложение за всю конфу. А то наймут студента админом , "секреты фирмы" администрить за пособие по безработице, а потом хватаются за голову откуда у конкурентов на них досье как по фирме, так и по личной жизни

Ставь файрвол типа "Agnitum Firewall" это решение твоих проблем.