FollowSun Опубликовано 23 января, 2009 Жалоба Поделиться Опубликовано 23 января, 2009 В локальной сети на всех компьютерах под ХР есть пользователь с правами АДМИНИСТРАТОРА и пользователь без прав АДМИНИСТРАТОРА. Как запретить последнему устанавливать и деинсталлировать программы, давать доступ к папкам и снимать доспуп к папкам в локальной сети? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 23 января, 2009 Жалоба Поделиться Опубликовано 23 января, 2009 FollowSun: Если пользователь действительно не входит в группу администраторов, он и так не сможет ничего из вышеперечисленного, никаких дополнительных действий не требуется. (справедливо, если том отформатирован в ntfs) Ссылка на комментарий Поделиться на другие сайты Поделиться
Old men Опубликовано 23 января, 2009 Жалоба Поделиться Опубликовано 23 января, 2009 Немного дополню. Пользователь может входить в группу Опытные пользователи (Power Users), в этом случае ему разрешена установка и удаление программ. Надо переместить его в группу Пользователи (Users), тогда он этих прав лишится. Это перемещение можно сделать только из профиля администратора Ссылка на комментарий Поделиться на другие сайты Поделиться
FollowSun Опубликовано 28 января, 2009 Автор Жалоба Поделиться Опубликовано 28 января, 2009 Всем, спасибо Ссылка на комментарий Поделиться на другие сайты Поделиться
FollowSun Опубликовано 28 января, 2009 Автор Жалоба Поделиться Опубликовано 28 января, 2009 Попробовал под NTFS, ХР SP2 следующее. Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен. Ссылка на комментарий Поделиться на другие сайты Поделиться
Iomhar Dealgach Опубликовано 28 января, 2009 Жалоба Поделиться Опубликовано 28 января, 2009 (изменено) Мне тоже очень надо!!! Подскажите плиз - я админ и хочу для учетной записи гостя сделать следующее - чтобы он мог запускать ТОЛЬКО MS Word, создавать в нем и редактировать файлы НО записывать только в свою учетную папку "Его документы", и чтобы из проводника он видел ТОЛЬКО папку "Свои (его) документы" и больше ни одной папки если напрямую на диск C... Чтобы гость не мог ничего не установить, ни тем более удалить того, что я поставил!!! И еще - чтобы не было доступа ни к DVD-RW, ни к флопу, не монтировались его флешки а тем более с них ничего НЕ запускалось... И чтобы звука в колонках НЕ было (хотя если все плееры будут заблокированы, то пусть звучит)... Главное - только MS WORD и им созданные/измененные/записанные его документы!!! ЭТО МОЖНО ВСЕ ТОЛЬКО СИСТЕМОЙ СДЕЛАТЬ? ИЛИ НУЖЕН СТОРОННИЙ СОФт? КАКОЙ? (Вроде по описанию подошел бы ChildControl - кто пробовал, отпишитесь плиз!) СПАСИБО!!! Изменено 28 января, 2009 пользователем Iomhar Dealgach Ссылка на комментарий Поделиться на другие сайты Поделиться
Old men Опубликовано 28 января, 2009 Жалоба Поделиться Опубликовано 28 января, 2009 (изменено) Господа, я приложил к посту выдирку из книги У.Станнека "Виндоус ХР Профессионал. Справочник администратора". Сразу скажу, что хотя это и официальный автор Майкрософт, но книга не совсем точная и не совсем полная. Из собственного опыта - я несколько лет назад умудрился открыть на локальной машине домен (как я это сделал не помню, помню что долго от него избавлялся, потому что запретил почти всем почти все :bye1: ) Тут этот способ не описан :) По моему опыту запретительства (он не велик), лучше всего действуют сторонние программы, ставил я одну из них (опять же склероз), такое впечатление, что можно было запретить читать отдельные слова в тексте, но, увы, примерно из трех десятков параметров полностью понятными было около десяти... Убрал я ее, да и запрещать стало некому и нечего.. P.S. Порылся немного по своим файлам и наткнулся на хороший инструмент Пуск - Выполнить - gpedit.msc (в книге он, кстати, не упомянут). IMHO, для индивидуальной настройки поведения пользователя должен подойти сценарий. Из этой панели групповой политики можно перейти к Справке Консоли управления ММС (правый клик на термине) и там уже попробовать разобраться, как написать сценарий User_accounts.txt User_accounts.txt Изменено 28 января, 2009 пользователем Old men Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 28 января, 2009 Жалоба Поделиться Опубликовано 28 января, 2009 FollowSun: Попробовал под NTFS, ХР SP2 следующее.Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен. Похоже, вы что-то делаете не так. :) Члены группы Пользователи смогут удалить только те файлы, что расположены в их локальном профиле. Проверил и на Winamp - смог удалить только пользовательские настройки, саму программу бесполезно. Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 4 июня, 2009 Жалоба Поделиться Опубликовано 4 июня, 2009 Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь. Локальные политики могут ограничить запуск программ, только применительно к компьютеру? И ещё вопрос: распространяется ли политика ограниченного использования программ на группу Администраторы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 5 июня, 2009 Жалоба Поделиться Опубликовано 5 июня, 2009 Aleksa106: оба вопроса взаимосвязаны. Если мы говорим о домене, то там есть возможность назначать политики как на уровне компьютера (при этом она применима ко всем пользователям, вошедшим на компьютер), так и на уровне пользователя (при этом будет работать на любом компьютере но только для указанных пользователей). В первом случае Администраторы тоже попадают под ее действие. Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 5 июня, 2009 Жалоба Поделиться Опубликовано 5 июня, 2009 ... Администраторы тоже попадают под ее действие ... Maikll, извините, не подскажете тогда, что я делаю не так: в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный... в дополнительных правилах: 1. добавил правило по хешу для Word...неограниченный 2. добавил правило для пути *.lnk...неограниченный проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются... хотелось бы, чтобы запускался только Word... домена там нет, компов всего 2, удаленный пункт без Инета... сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались... ( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... ) Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 5 июня, 2009 Жалоба Поделиться Опубликовано 5 июня, 2009 домена там нет, компов всего 2, удаленный пункт без Инета...сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались... В данной ситуации я бы посоветовал во-первых, лишить пользователя прав на компьютере, создав для работы ему отдельную учетную запись, Администратора (в .т.ч встроенного) соответственно запаролить понадежнее. в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный...в дополнительных правилах: 1. добавил правило по хешу для Word...неограниченный 2. добавил правило для пути *.lnk...неограниченный проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются... потому, что на локальной машине по-умолчанию создано правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% с уровнем Неограниченный, оно разрешает запуск из Program Files, поэтому и все программы работают. Хотелось бы, чтобы запускался только Word... Да легко :g: Локальная политика - Конфигурация Компьютера - Конфигурация Windows - Параметры безопасности - Политика ограниченного использования программ - Принудительный - ставим галку Применять для всех, кроме локальных администраторов (мы же не хотим себя в чем-то ограничивать, верно?) Следующий пункт Назначенные типы файлов, из списка можно удалить расширение LNK, чтобы не прописывать отдельно ярлыки. Далее Уровни безопасности - правой кнопкой на уровень Не разрешено - по умолчанию, на предупреждение системы отвечаем утвердительно. Идем в дополнительные правила, меняем правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% на Не разрешено, добавляем правила для запуска необходимых программ. Выходим из системы, логинимся под учеткой обычного пользователя, проверяем что все работает как надо. З.Ы. Теоретически очень "продвинутый" пользователь сможет запускать программы из каталога windows, на это права у него будут, но минимизировать риск как раз поможет ограниченная учетная запись. ( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... ) Пожалуйста. :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 6 июня, 2009 Жалоба Поделиться Опубликовано 6 июня, 2009 Спасибо... только политику придётся применить и на Админа... Ограниченная учётка создана, с правами Пользователя, эти пользователи нахватались в Инете статей по поводу сброса пароля Администратора, и ставят что хотят на свой страх и риск...загружаются в оперативку ( LiveCD или ещё какой-нибудь загрузочный диск), подменяют файлик Sam, заходят под Админом, ставят что надо, затем возвращают Sam... Тем более для работы им и нужно всего: почта, офис, рабочая программа, Интернет... так что правил будет не много... Ещё раз большое спасибо.. Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 6 июня, 2009 Жалоба Поделиться Опубликовано 6 июня, 2009 Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут. Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством. Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 6 июня, 2009 Жалоба Поделиться Опубликовано 6 июня, 2009 Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут. Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством. Ну начальство смотрит на это сквозь пальцы... пока ничего не случилось. Про БИОС это кстати, хорошо что напомнили, запаролю... заодно и системник опечатаю... Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 7 июня, 2009 Жалоба Поделиться Опубликовано 7 июня, 2009 Майкл, извините... возник ещё один вопрос Политика локальный комп - конфиг. комп - конфиг Windows - Автозагрузка файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере? Кстати, спасибо за консультации, проверил всё работает прекрасно... ограничено всё что хотелось. Супер!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Maikll Опубликовано 7 июня, 2009 Жалоба Поделиться Опубликовано 7 июня, 2009 Aleksa106: Сценарии ветки конфигурация компьютера работают на включение / выключение (перезагрузку) компьютера. А сценарии ветки конфигурация пользователя соответственно на логон / логофф пользователя Скрипты конфигурации пользователя работают с правами пользователя, конфигурации компьютера работают от учётной записи SYSTEM Вопрос файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере? не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы. Ссылка на комментарий Поделиться на другие сайты Поделиться
Loader Опубликовано 7 июня, 2009 Жалоба Поделиться Опубликовано 7 июня, 2009 Aleksa106: Ну начальство смотрит на это сквозь пальцы... Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно. Оффтоп Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого Ссылка на комментарий Поделиться на другие сайты Поделиться
Aleksa106 Опубликовано 8 июня, 2009 Жалоба Поделиться Опубликовано 8 июня, 2009 Aleksa106: Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно. Оффтоп Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого Там сети нет... отдельный вагончик, практически в лесу... Инет только мобильный. ... Вопрос не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы. Спасибо, всё понятно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения