"Vasaris" <none@none.none> wrote in message 
news:icg8kb$1gm$1@trimpas.omnitel.net...
> Dar žiūrėk. Nes jei darysi ne per-computer, o per-user, tai XP netinka 
> tam, tik 6.x+ branduolio OS.
Autentifikacija per-computer.

> Kodėl? Sukur AD grupę "Tuščia skylė", jai priskiri vartotojams ir pastatai 
> kaip "Primary group", tada išmeti priklausomybę "Domain Users"  grupei, ir 
> su ta paskyra visiškai nieko negalėsi padaryti, kur nėra 
> "Everyone/Authenticated" leidimų. Priedo, juk gali ramia dūšia sudėti 
> ribojimus kiekvienai paskyrai, kad ji galėtų jungtis tik iš tam tikrų 
> kompiuterių vardų, tam tikru laiku ir pan.

Butent kad nebus galimybiu visikai panaikinti everyone/authenticated 
leidimu. Be to kad pilnai uzsecurint tinkla paliekant tuos uzerius reikia 
ideti labai daug darbo, ir vistiek islieka galimybe palikti kaskokia skyle, 
arba atvirksciai, dedant apsaugas sutrikdyti normalu darba. Taip pat islieka 
didele tikimybe atsirasti saugumo spragoms ateityje, kai kuris nors 
administratorius neivertins esamos konfiguracijos, ir pamirs si aspekta, del 
tokiu acountu.
Sioje vietoje mano nuomone gamintoju priimtas sprendimas labai kvailas. Jau 
geriau butu buvus galimybe tiesiai komutatoriuje portui priskirti konkretu 
MAC adresa.
Taip pat priverstinai reikai isjungti Password complexity galimybe visame 
domene

> Kurioje vietoje tikiesi sulėtėjimo ir kiek? Ir ar tavo tikėjimas 
> subjektyvus, ar objektyvus?

Kadangi tinklas pakankamai didelis. Tai manau tikrai bus skirtumas, jei pvz 
500 MB failas is didzainerio kompiuterio i tapati spausdintuva, esanti tame 
paciame komutatoriuje keliaus tiesiai, ar pro 7 tarpinius komutatorius, per 
firewall'a ir paskui tais paciais komutatatoriais atgal i spausdintuva.