Сообщений в теме: 18

[FollowSun]

В локальной сети на всех компьютерах под ХР есть пользователь с правами АДМИНИСТРАТОРА и пользователь без прав АДМИНИСТРАТОРА. Как запретить последнему устанавливать и деинсталлировать программы, давать доступ к папкам и снимать доспуп к папкам в локальной сети?

[Maikll]

FollowSun: Если пользователь действительно не входит в группу администраторов, он и так не сможет ничего из вышеперечисленного, никаких дополнительных действий не требуется.
(справедливо, если том отформатирован в ntfs)

[Old men]

Немного дополню. Пользователь может входить в группу Опытные пользователи (Power Users), в этом случае ему разрешена установка и удаление программ. Надо переместить его в группу Пользователи (Users), тогда он этих прав лишится.
Это перемещение можно сделать только из профиля администратора

[FollowSun]

Всем, спасибо

[FollowSun]

Попробовал под NTFS, ХР SP2 следующее.
Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен.

[Iomhar Dealgach]

Мне тоже очень надо!!!
Подскажите плиз - я админ и хочу для учетной записи гостя сделать следующее - чтобы он мог запускать ТОЛЬКО MS Word, создавать в нем и редактировать файлы НО записывать только в свою учетную папку "Его документы", и чтобы из проводника он видел ТОЛЬКО папку "Свои (его) документы" и больше ни одной папки если напрямую на диск C... Чтобы гость не мог ничего не установить, ни тем более удалить того, что я поставил!!! И еще - чтобы не было доступа ни к DVD-RW, ни к флопу, не монтировались его флешки а тем более с них ничего НЕ запускалось... И чтобы звука в колонках НЕ было (хотя если все плееры будут заблокированы, то пусть звучит)...
Главное - только MS WORD и им созданные/измененные/записанные его документы!!!
ЭТО МОЖНО ВСЕ ТОЛЬКО СИСТЕМОЙ СДЕЛАТЬ? ИЛИ НУЖЕН СТОРОННИЙ СОФт? КАКОЙ? (Вроде по описанию подошел бы ChildControl - кто пробовал, отпишитесь плиз!)
СПАСИБО!!!

Сообщение отредактировал Iomhar Dealgach: 28 Январь 2009 - 15:06

[Old men]

Господа, я приложил к посту выдирку из книги У.Станнека "Виндоус ХР Профессионал. Справочник администратора". Сразу скажу, что хотя это и официальный автор Майкрософт, но книга не совсем точная и не совсем полная.
Из собственного опыта - я несколько лет назад умудрился открыть на локальной машине домен (как я это сделал не помню, помню что долго от него избавлялся, потому что запретил почти всем почти все ) Тут этот способ не описан
По моему опыту запретительства (он не велик), лучше всего действуют сторонние программы, ставил я одну из них (опять же склероз), такое впечатление, что можно было запретить читать отдельные слова в тексте, но, увы, примерно из трех десятков параметров полностью понятными было около десяти... Убрал я ее, да и запрещать стало некому и нечего..
P.S. Порылся немного по своим файлам и наткнулся на хороший инструмент Пуск - Выполнить - gpedit.msc (в книге он, кстати, не упомянут). IMHO, для индивидуальной настройки поведения пользователя должен подойти сценарий. Из этой панели групповой политики можно перейти к Справке Консоли управления ММС (правый клик на термине) и там уже попробовать разобраться, как написать сценарий

Прикрепленные файлы

•  User_accounts.txt   34.14К   91 Количество загрузок:

Сообщение отредактировал Old men: 28 Январь 2009 - 23:42

[Maikll]

FollowSun:

Цитата

Попробовал под NTFS, ХР SP2 следующее.
Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен.

Похоже, вы что-то делаете не так.
Члены группы Пользователи смогут удалить только те файлы, что расположены в их локальном профиле. Проверил и на Winamp - смог удалить только пользовательские настройки, саму программу бесполезно.

Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь.

[Aleksa106]

Maikll (29.01.2009, 01:47) писал:

Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь.

Локальные политики могут ограничить запуск программ, только применительно к компьютеру?
И ещё вопрос: распространяется ли политика ограниченного использования программ на группу Администраторы?

[Maikll]

Aleksa106: оба вопроса взаимосвязаны.
Если мы говорим о домене, то там есть возможность назначать политики как на уровне компьютера (при этом она применима ко всем пользователям, вошедшим на компьютер), так и на уровне пользователя (при этом будет работать на любом компьютере но только для указанных пользователей).
В первом случае Администраторы тоже попадают под ее действие.

[Aleksa106]

Maikll (05.06.2009, 07:31) писал:

... Администраторы тоже попадают под ее действие ...

Maikll, извините, не подскажете тогда, что я делаю не так:
в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный...
в дополнительных правилах:
1. добавил правило по хешу для Word...неограниченный
2. добавил правило для пути *.lnk...неограниченный

проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются...

хотелось бы, чтобы запускался только Word...
домена там нет, компов всего 2, удаленный пункт без Инета...
сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались...

( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... )

[Maikll]

Цитата

домена там нет, компов всего 2, удаленный пункт без Инета...
сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались...

В данной ситуации я бы посоветовал во-первых, лишить пользователя прав на компьютере, создав для работы ему отдельную учетную запись, Администратора (в .т.ч встроенного) соответственно запаролить понадежнее.

Цитата

в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный...
в дополнительных правилах:
1. добавил правило по хешу для Word...неограниченный
2. добавил правило для пути *.lnk...неограниченный

проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются...

потому, что на локальной машине по-умолчанию создано правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% с уровнем Неограниченный, оно разрешает запуск из Program Files, поэтому и все программы работают.

Цитата

Хотелось бы, чтобы запускался только Word...

Да легко
Локальная политика - Конфигурация Компьютера - Конфигурация Windows - Параметры безопасности - Политика ограниченного использования программ - Принудительный - ставим галку Применять для всех, кроме локальных администраторов (мы же не хотим себя в чем-то ограничивать, верно?)
Следующий пункт Назначенные типы файлов, из списка можно удалить расширение LNK, чтобы не прописывать отдельно ярлыки.
Далее Уровни безопасности - правой кнопкой на уровень Не разрешено - по умолчанию, на предупреждение системы отвечаем утвердительно.
Идем в дополнительные правила, меняем правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% на Не разрешено, добавляем правила для запуска необходимых программ.

Выходим из системы, логинимся под учеткой обычного пользователя, проверяем что все работает как надо.

З.Ы. Теоретически очень "продвинутый" пользователь сможет запускать программы из каталога windows, на это права у него будут, но минимизировать риск как раз поможет ограниченная учетная запись.

Цитата

( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... )

Пожалуйста.

[Aleksa106]

Спасибо... только политику придётся применить и на Админа... Ограниченная учётка создана, с правами Пользователя, эти пользователи нахватались в Инете статей по поводу сброса пароля Администратора, и ставят что хотят на свой страх и риск...загружаются в оперативку ( LiveCD или ещё какой-нибудь загрузочный диск), подменяют файлик Sam, заходят под Админом, ставят что надо, затем возвращают Sam...

Тем более для работы им и нужно всего: почта, офис, рабочая программа, Интернет... так что правил будет не много...

Ещё раз большое спасибо..

[Maikll]

Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут.
Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством.

[Aleksa106]

Maikll (06.06.2009, 17:29) писал:

Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут.
Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством.

Ну начальство смотрит на это сквозь пальцы... пока ничего не случилось. Про БИОС это кстати, хорошо что напомнили, запаролю... заодно и системник опечатаю...

[Aleksa106]

Майкл, извините... возник ещё один вопрос

Политика локальный комп - конфиг. комп - конфиг Windows - Автозагрузка
файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере?


Кстати, спасибо за консультации, проверил всё работает прекрасно... ограничено всё что хотелось. Супер!!!

[Maikll]

Aleksa106: Сценарии ветки конфигурация компьютера работают на включение / выключение (перезагрузку) компьютера. А сценарии ветки конфигурация пользователя соответственно на логон / логофф пользователя
Скрипты конфигурации пользователя работают с правами пользователя, конфигурации компьютера работают от учётной записи SYSTEM

Вопрос

Цитата

файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере?

не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы.

[Loader]

Aleksa106:

Цитата

Ну начальство смотрит на это сквозь пальцы...

Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно.

Оффтоп

Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого

[Aleksa106]

Loader (07.06.2009, 22:09) писал:

Aleksa106:
Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно.

Оффтоп

Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого

Там сети нет... отдельный вагончик, практически в лесу... Инет только мобильный.

Maikll (07.06.2009, 17:24) писал:

... Вопрос
не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы.

Спасибо, всё понятно.