Windows - administrator - separace opravnění

Dobrý den,

chtel bych se zeptat zda nekdo nemate zkusenost s nasledujicim problemem.

Jedná se především o windows 2000 nebo windows 2003. Potřeboval bych skupině Administrators nebo jenom uživateli administrator odebrat oprávnění "Spravovat protokol auditu a bezpečnosti" a delegovat jej nějakému uživateli. Nevíte někdo, jak odebrat oprávnění administrátorovi?

Díky Pavel

PS: postup nelze řešit, že vytvořím separátní účet, podobny adminovi, skoro ze všemi opravněními a nedám mu pouze výše jmenované opravnění.

Předmět	Autor	Datum
Jedná se především o windows 2000 nebo windows 2003 Nejedná se spíš o Windows Server 2000(3) ? Něja… strejdabrabenec 22.01.2008 23:46	strejdabrabenec	22.01.2008 23:46
no je to edice, vzhledem že to je postaveno na technologii NT jsem považoval za zbytečné zmiňovat s… P.a.v.e.l 22.01.2008 23:58	P.a.v.e.l	22.01.2008 23:58
Nestacilo by nastavit prava na úrovni NTFS primo na soubory LOGu? Myslím přes speciální oprávnění od… Jan Fiala 23.01.2008 05:54	Jan Fiala	23.01.2008 05:54
nestačilo, protože daný admin si může převzít vlastnictví a přidat práva zpět. Řešením samozřejmě j… touchwood 23.01.2008 07:13	touchwood	23.01.2008 07:13
díky, ale toto jsem zkoušel a na admina toto prostě neplatí (na systémový a aplikační to vynutit ta… P.a.v.e.l 23.01.2008 08:04	P.a.v.e.l	23.01.2008 08:04
Podle mě máte smůlu, protože jdete proti logice, kterou systém využívá. Administrátor je od toho aby… jbo 23.01.2008 12:35	jbo	23.01.2008 12:35
s tvrzením že administrátor má mít vešekerá oprávnění bych nesouhlasil - příklad systémy Unix/Linux;… P.a.v.e.l 23.01.2008 12:40	P.a.v.e.l	23.01.2008 12:40
ale opet to jde proti logice ;-) a musi tam byt uzivatel ktery ma tedy prava root aby to mohl udelat… JR_Ewing 23.01.2008 12:43	JR_Ewing	23.01.2008 12:43
no takhle jednoduche to zas tak neni :-) ... musí se přidat nějaké nadstavby -- selinux , ale hlavně… P.a.v.e.l 23.01.2008 12:51	P.a.v.e.l	23.01.2008 12:51
Pokud jde o Windows, můžu uzivatele "administrator" přejmenovat, vytvořit nového uživatele "adminitr… Jan Fiala 23.01.2008 13:00	Jan Fiala	23.01.2008 13:00
mužete být, prosím Vás, trochu konkrétnější u oprávnění "Spravovat protokol auditu a bezpečnosti" u… P.a.v.e.l 23.01.2008 13:12	P.a.v.e.l	23.01.2008 13:12
Pokud je to dotaz na mne. Uzivatel "administrator" je systemovy, ten ma prava pridelena sam o sobe.… Jan Fiala 23.01.2008 13:42	Jan Fiala	23.01.2008 13:42
pro Jan Fiala: ja se omlouvam, ale asi jsem to při pokladani dotazu dostatecne nezduraznil, ale toto… poslední P.a.v.e.l 23.01.2008 13:47	P.a.v.e.l	23.01.2008 13:47
ted se mne podařilo odepří audit u windows 2003 řešení: 323076 s kombinací odebrání oprávnění v mís… P.a.v.e.l 23.01.2008 12:37	P.a.v.e.l	23.01.2008 12:37

Jedná se především o windows 2000 nebo windows 2003

Nejedná se spíš o Windows Server 2000(3) ?
Nějak mi uniká smysl tohoto počínání. Skupina Administrators byla stvořena aby v ní byli administrátoři systému. Kdo tam nemá co dělat nechť je z ní vymazán. Proč odebírat oprávnění administrátorovi ? Tohle myslím postrádá logiku. Vzpomínám se že se tu před časem řešilo jak dva uživatelé jednoho PC-oba "administrátoři"-si navzájem měnili hesla. Oba bych vyhnal od PC aby si to na dvorku radši rozdali v kuličkách než dosáhnou dospělosti.

no je to edice, vzhledem že to je postaveno na technologii NT jsem považoval za zbytečné zmiňovat

s tim, že to nema logiku -proste potrebuju, abych mel klasickeho admina pouze bez tohoto opravneni, protoze prave admin mi muze zmenit logy (bezpečnostní), což je velmi nežádoucí - potrebuji mit separatni roli pouze na tyto logy ...

Nestacilo by nastavit prava na úrovni NTFS primo na soubory LOGu?
Myslím přes speciální oprávnění odebrat možnost měnit soubor LOGu pro skupinu administrátors (nebo uživatele)

nestačilo, protože daný admin si může převzít vlastnictví a přidat práva zpět.

Řešením samozřejmě je odebrat práva v policies na event log administrátorům a přidat vyjmenovaným uživatelům nebo skupině. Je to ovšem prasárna netužšího kalibru.

práva na eventlog viz: 323076

díky,

ale toto jsem zkoušel a na admina toto prostě neplatí (na systémový a aplikační to vynutit takto lze, ale na bezpečnostní nee), i když mu dám odepřít na (D;; 0xf0007;;;BA), tak se stále do toho vklídku podíva na bezpečnostní log atd ...

ale jestě jednou díky za iniciativu

Podle mě máte smůlu, protože jdete proti logice, kterou systém využívá. Administrátor je od toho aby mohl vše, když někdo nemá moci vše, musí být něco jiného než administrátor.

s tvrzením že administrátor má mít vešekerá oprávnění bych nesouhlasil - příklad systémy Unix/Linux; uživatele root lze velice omezit - více méně mu odebrat jakékoliv oprávnění ...

ale opet to jde proti logice a musi tam byt uzivatel ktery ma tedy prava root aby to mohl udelat . Respektive aby se dal pak ten system spravovat. Ano, neni problem dat uzivatele root do skupiny users a odstranit ho z jinych, prespat opravneni na souborech a vytvorit jineho spravce ( pod kterym budou nektere procesy pristupovat k prostredkum ). Ale my se nebavime o unixu ale o windows.

no takhle jednoduche to zas tak neni ... musí se přidat nějaké nadstavby -- selinux , ale hlavně vytvořim uživatele, který mě třeba dosáhne pouze na správu nadstavby -- vše bude auditovane -- poznam naruseni/kompromitaci atd. - nemohl jsem si odpustit k unixu (unix rules)
ale dole jak jste si mohl přečíst, že to na win2k3 jde ..

Pokud jde o Windows, můžu uzivatele "administrator" přejmenovat, vytvořit nového uživatele "adminitrátor", kterému pak přidělím jen práva, která chci...

mužete být, prosím Vás, trochu konkrétnější u oprávnění "Spravovat protokol auditu a bezpečnosti" u OS windows 2000 ...

PS: pokud máte na mysli pomocí politiky - tak alespoň mě to nešlo, konrétně toto oprávnění, prostě systém igonoroval i přes odebrání skupiny administrators v dané politice u oprávnění "Spravovat protokol auditu a bezpečnosti" - admin stéle do security log lezl ...

Pokud je to dotaz na mne.
Uzivatel "administrator" je systemovy, ten ma prava pridelena sam o sobe.
Ale nic mi nebrani jej prejmenovat z "administrator" na "franta". Ale "franta" porad zustane jako unikatni uzivatel.
Pak si vytvorim uzivatele "administrator", ktery uz nema zadna specialni prava krome tech, ktera dostane pridelena.

pro Jan Fiala:
ja se omlouvam, ale asi jsem to při pokladani dotazu dostatecne nezduraznil, ale toto nemůžu obcházet vytvářením jineho omezeneho účtu, at už puvodní admin se jmenuje, jak se jmenuje. jde opravdu o to jak administratoru odebrat výše jmenované oprávnění - at se jemenuje, jak se jmenuje

ale diky za iniciativu

ted se mne podařilo odepří audit u windows 2003

řešení:
323076
s kombinací odebrání oprávnění v místní politice - "Spravovat protokol auditu a bezpečnosti"

avšak stále se mi to nedaří ve windows 2000 server. neví te náhodou někdo jak na to?

Zpět do poradny Odpovědět na původní otázku Nahoru