Windows: отключите удаленный доступ локального диска, даже администратором домена
v=spf1 mx ip4:xx.xx.xx.43 mx:mail.sitea.com ip4:xx.xx.xx.42 - все
Я не думаю, что Вы хотите ту запись - обычно использование mx: типы не получают то, что Вы хотите. Вы также сказали что .42 адрес является тем, от которого Вы отправляете, таким образом, это должно быть первым, и реалистично единственная запись:
v=spf1 ip4:xx.xx.xx.42 -all
This post, from the Technet forums, by Yan Li explains it easy enough:
Only the Administrators group have access to the administrative shares, please go to the Administrators group and remove the desired users and groups that you do not what to have access to the administrative shares.
For multiple client PCs, you could on one of the machines and disable them as stated below, export the registry key and then in a GPO import it.
Disable the default shares:
Windows open hidden shares on each installation for use by the system account. (Tip: You can view all of the shared folders on your computer by typing NET SHARE from a command prompt.) You can disable the default Administrative shares two ways.
One is to stop or disable the Server service, which removes the ability to share folders on your computer. (However, you can still access shared folders on other computers.) When you disable the Server service (via Control Panel > Administration Tools > Services), be sure to click Manual or Disabled or else the service will start the next time the computer is restarted.
The other way is via the Registry by editing HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters. For Servers edit AutoShareServer with a REG_DWORD Value of 0. For Workstations, the edit AutoShareWks. Keep in mind that disabling these shares provide an extra measure of security, but may cause problems with applications. Test your changes in a lab before disabling these in a production environment. The default hidden shares are:
Share:
C$ D$ E$
Path and function:
Root of each partition, only members of the Administrators or Backup Operators group can connect to these shared folders. For a Windows 2000 Server computer, members of the Server Operators group can also connect to these shared folders.
Still, it isn't good practice to do this. You are preventing access to things that should be accessible for a domain admin. It's akin to changing the locks on your apartment so your landlord can't get in.
Используйте зашифрованные тома с утилитой шифрования сторонних производителей, например TrueCrypt.
Это единственный способ предотвратить доступ администратора к данным, которых у него не должно быть. Этого достаточно против честного администратора, но недостаточно против злонамеренного администратора, который все еще может установить регистраторы ключей или использовать инструменты удаленного доступа для просмотра содержимого томов, пока том находится в разблокированном состоянии
Что касается тех, кто задается вопросом, почему вы хотите заблокировать администратора от данных, то это просто ПЛАШАЯ МЕРОПРИЯТИЯ, что по умолчанию администраторы имеют доступ к любым видам конфиденциальных данных, будь то финансовые данные, личные данные сотрудников, исследовательские данные и т.п. Они не должны.
Частью работы ИТ-администратора должно быть обеспечение того, чтобы ни одна учетная запись администратора не была скомпрометирована, что приведет к тому, что злоумышленник получит полный доступ ко всем данным компании
.Существует ли письменная политика компании о том, кто и почему должна быть доступна какая-либо конкретная информация на сетевом компьютере, и почему эта конкретная информация вообще должна быть на сетевом компьютере? Если это данные только для этого офиса, почему бы не выделить дополнительный ноутбук или не использовать старый автономный компьютер, доступ к которому можно получить только в реальном офисе? Ноутбук в сейфе нельзя легко украсть или получить к нему доступ. Пожары, наводнения, торнадо, хакеры в Китае, Индии и т. Д. Подключайте его только тогда, когда это необходимо.