[vasketsov]

Andrew Denny

Цитата:

Один человек - один пароль. Это закон

Существуют определенные задачи, которые должны иметь возможность выполнять несколько человек и для которых необходимо поддерживать бесперебойность в работе. Пример - пароль рута на веб-сервере, должен храниться в сейфе, и возможность им пользоваться должна быть как минимум у того, кто в ДАННЫЙ МОМЕНТ отвечает за его работу - сегодня один дежурит, завтра другой.

Цитата:

Админ всегда сможет зайти. Шару С$ не убъешь. Доверяйте админу и строго за ним следите

1) зайти всегда сможет? нет, не всегда. локальный комп имеет свою политику безопасности, которая в данном случае должна отличаться от остальной политики. Локальный доступ блокируется элементарно, удаленный - тоже, остается только одна дыра - власть имеет тот, кто пишет логон-скрипт и правит профиль. Профиль делается локальным, логон-скрипт запрещается административно как класс (все равно там обычно только время правится). Если надо совсем жестко и жестоко - смотрим что за трафик по каким портам идет и выборочно натравливаем на них локальный файрвол (на котором запрещаем удаленное администрирование, и файером можно будет рулить только локально).

2) C$ убивается а) запрещением службы сервера, б) параметрами AutoShareWks и AuoShareServer соответственно. Для включения назад придется править удаленно реестр и запрещать удаленный доступ, что тоже решаемо. В конце концов, группы админов домена и юзеров домена выкидываются из всех локальных групп.

3) А что тут опровергать?