FollowSun Posted January 23, 2009 Report Share Posted January 23, 2009 В локальной сети на всех компьютерах под ХР есть пользователь с правами АДМИНИСТРАТОРА и пользователь без прав АДМИНИСТРАТОРА. Как запретить последнему устанавливать и деинсталлировать программы, давать доступ к папкам и снимать доспуп к папкам в локальной сети? Link to comment Share on other sites More sharing options...
Maikll Posted January 23, 2009 Report Share Posted January 23, 2009 FollowSun: Если пользователь действительно не входит в группу администраторов, он и так не сможет ничего из вышеперечисленного, никаких дополнительных действий не требуется. (справедливо, если том отформатирован в ntfs) Link to comment Share on other sites More sharing options...
Old men Posted January 23, 2009 Report Share Posted January 23, 2009 Немного дополню. Пользователь может входить в группу Опытные пользователи (Power Users), в этом случае ему разрешена установка и удаление программ. Надо переместить его в группу Пользователи (Users), тогда он этих прав лишится. Это перемещение можно сделать только из профиля администратора Link to comment Share on other sites More sharing options...
FollowSun Posted January 28, 2009 Author Report Share Posted January 28, 2009 Всем, спасибо Link to comment Share on other sites More sharing options...
FollowSun Posted January 28, 2009 Author Report Share Posted January 28, 2009 Попробовал под NTFS, ХР SP2 следующее. Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен. Link to comment Share on other sites More sharing options...
Iomhar Dealgach Posted January 28, 2009 Report Share Posted January 28, 2009 (edited) Мне тоже очень надо!!! Подскажите плиз - я админ и хочу для учетной записи гостя сделать следующее - чтобы он мог запускать ТОЛЬКО MS Word, создавать в нем и редактировать файлы НО записывать только в свою учетную папку "Его документы", и чтобы из проводника он видел ТОЛЬКО папку "Свои (его) документы" и больше ни одной папки если напрямую на диск C... Чтобы гость не мог ничего не установить, ни тем более удалить того, что я поставил!!! И еще - чтобы не было доступа ни к DVD-RW, ни к флопу, не монтировались его флешки а тем более с них ничего НЕ запускалось... И чтобы звука в колонках НЕ было (хотя если все плееры будут заблокированы, то пусть звучит)... Главное - только MS WORD и им созданные/измененные/записанные его документы!!! ЭТО МОЖНО ВСЕ ТОЛЬКО СИСТЕМОЙ СДЕЛАТЬ? ИЛИ НУЖЕН СТОРОННИЙ СОФт? КАКОЙ? (Вроде по описанию подошел бы ChildControl - кто пробовал, отпишитесь плиз!) СПАСИБО!!! Edited January 28, 2009 by Iomhar Dealgach Link to comment Share on other sites More sharing options...
Old men Posted January 28, 2009 Report Share Posted January 28, 2009 (edited) Господа, я приложил к посту выдирку из книги У.Станнека "Виндоус ХР Профессионал. Справочник администратора". Сразу скажу, что хотя это и официальный автор Майкрософт, но книга не совсем точная и не совсем полная. Из собственного опыта - я несколько лет назад умудрился открыть на локальной машине домен (как я это сделал не помню, помню что долго от него избавлялся, потому что запретил почти всем почти все :bye1: ) Тут этот способ не описан :) По моему опыту запретительства (он не велик), лучше всего действуют сторонние программы, ставил я одну из них (опять же склероз), такое впечатление, что можно было запретить читать отдельные слова в тексте, но, увы, примерно из трех десятков параметров полностью понятными было около десяти... Убрал я ее, да и запрещать стало некому и нечего.. P.S. Порылся немного по своим файлам и наткнулся на хороший инструмент Пуск - Выполнить - gpedit.msc (в книге он, кстати, не упомянут). IMHO, для индивидуальной настройки поведения пользователя должен подойти сценарий. Из этой панели групповой политики можно перейти к Справке Консоли управления ММС (правый клик на термине) и там уже попробовать разобраться, как написать сценарий User_accounts.txt User_accounts.txt Edited January 28, 2009 by Old men Link to comment Share on other sites More sharing options...
Maikll Posted January 28, 2009 Report Share Posted January 28, 2009 FollowSun: Попробовал под NTFS, ХР SP2 следующее.Пользователь Администратор поствил Winamp. Далее не Администратор провел деинсталяцию WINAMP. Winamp частино удален, не работоспособен. Похоже, вы что-то делаете не так. :) Члены группы Пользователи смогут удалить только те файлы, что расположены в их локальном профиле. Проверил и на Winamp - смог удалить только пользовательские настройки, саму программу бесполезно. Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь. Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 4, 2009 Report Share Posted June 4, 2009 Iomhar Dealgach: если средствами системы - только домен (политика ограниченного использования программ), в одноранговой сети такого не сделаешь. Локальные политики могут ограничить запуск программ, только применительно к компьютеру? И ещё вопрос: распространяется ли политика ограниченного использования программ на группу Администраторы? Link to comment Share on other sites More sharing options...
Maikll Posted June 5, 2009 Report Share Posted June 5, 2009 Aleksa106: оба вопроса взаимосвязаны. Если мы говорим о домене, то там есть возможность назначать политики как на уровне компьютера (при этом она применима ко всем пользователям, вошедшим на компьютер), так и на уровне пользователя (при этом будет работать на любом компьютере но только для указанных пользователей). В первом случае Администраторы тоже попадают под ее действие. Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 5, 2009 Report Share Posted June 5, 2009 ... Администраторы тоже попадают под ее действие ... Maikll, извините, не подскажете тогда, что я делаю не так: в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный... в дополнительных правилах: 1. добавил правило по хешу для Word...неограниченный 2. добавил правило для пути *.lnk...неограниченный проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются... хотелось бы, чтобы запускался только Word... домена там нет, компов всего 2, удаленный пункт без Инета... сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались... ( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... ) Link to comment Share on other sites More sharing options...
Maikll Posted June 5, 2009 Report Share Posted June 5, 2009 домена там нет, компов всего 2, удаленный пункт без Инета...сети нет, необходимо наложить ограничение на использование программ, а то пользователи совсем распоясались... В данной ситуации я бы посоветовал во-первых, лишить пользователя прав на компьютере, создав для работы ему отдельную учетную запись, Администратора (в .т.ч встроенного) соответственно запаролить понадежнее. в локальной политике - политика ограниченного использования программ - выбрал уровень ограниченный...в дополнительных правилах: 1. добавил правило по хешу для Word...неограниченный 2. добавил правило для пути *.lnk...неограниченный проверяю, в итоге все программы по ярлыкам с рабочего стола запускаются... потому, что на локальной машине по-умолчанию создано правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% с уровнем Неограниченный, оно разрешает запуск из Program Files, поэтому и все программы работают. Хотелось бы, чтобы запускался только Word... Да легко :g: Локальная политика - Конфигурация Компьютера - Конфигурация Windows - Параметры безопасности - Политика ограниченного использования программ - Принудительный - ставим галку Применять для всех, кроме локальных администраторов (мы же не хотим себя в чем-то ограничивать, верно?) Следующий пункт Назначенные типы файлов, из списка можно удалить расширение LNK, чтобы не прописывать отдельно ярлыки. Далее Уровни безопасности - правой кнопкой на уровень Не разрешено - по умолчанию, на предупреждение системы отвечаем утвердительно. Идем в дополнительные правила, меняем правило пути %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% на Не разрешено, добавляем правила для запуска необходимых программ. Выходим из системы, логинимся под учеткой обычного пользователя, проверяем что все работает как надо. З.Ы. Теоретически очень "продвинутый" пользователь сможет запускать программы из каталога windows, на это права у него будут, но минимизировать риск как раз поможет ограниченная учетная запись. ( кстати большое спасибо за тему по групповым политикам Win2003, и рекомендованные книги в той же теме, заказал жду... ) Пожалуйста. :) Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 6, 2009 Report Share Posted June 6, 2009 Спасибо... только политику придётся применить и на Админа... Ограниченная учётка создана, с правами Пользователя, эти пользователи нахватались в Инете статей по поводу сброса пароля Администратора, и ставят что хотят на свой страх и риск...загружаются в оперативку ( LiveCD или ещё какой-нибудь загрузочный диск), подменяют файлик Sam, заходят под Админом, ставят что надо, затем возвращают Sam... Тем более для работы им и нужно всего: почта, офис, рабочая программа, Интернет... так что правил будет не много... Ещё раз большое спасибо.. Link to comment Share on other sites More sharing options...
Maikll Posted June 6, 2009 Report Share Posted June 6, 2009 Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут. Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством. Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 6, 2009 Report Share Posted June 6, 2009 Aleksa106: ограничивать в чем-либо Администратора практически бесполезно, на то он и Администратор, чтобы быть полновластным хозяином системы. Если пользователи настолько разбираются, что умеют сбрасывать пароли, то и сбросить политику тоже смогут. Я в таких ситуациях ставлю пароль на БИОС, жестко задаю приоритет загрузки, чтобы с флешки или с диска не могли загрузится, а чтобы не вскрыли системник и не сбросили БИОС, опечатываю корпус, причем ставлю в известность о жестоких наказаниях если пломбы будут нарушены. Лучше всего, если эти действия одобрены начальством. Ну начальство смотрит на это сквозь пальцы... пока ничего не случилось. Про БИОС это кстати, хорошо что напомнили, запаролю... заодно и системник опечатаю... Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 7, 2009 Report Share Posted June 7, 2009 Майкл, извините... возник ещё один вопрос Политика локальный комп - конфиг. комп - конфиг Windows - Автозагрузка файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере? Кстати, спасибо за консультации, проверил всё работает прекрасно... ограничено всё что хотелось. Супер!!! Link to comment Share on other sites More sharing options...
Maikll Posted June 7, 2009 Report Share Posted June 7, 2009 Aleksa106: Сценарии ветки конфигурация компьютера работают на включение / выключение (перезагрузку) компьютера. А сценарии ветки конфигурация пользователя соответственно на логон / логофф пользователя Скрипты конфигурации пользователя работают с правами пользователя, конфигурации компьютера работают от учётной записи SYSTEM Вопрос файл выполняемый отсюда попадает под применяемую политику, или он выполняется до применения политики на компьютере? не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы. Link to comment Share on other sites More sharing options...
Loader Posted June 7, 2009 Report Share Posted June 7, 2009 Aleksa106: Ну начальство смотрит на это сквозь пальцы... Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно. Оффтоп Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого Link to comment Share on other sites More sharing options...
Aleksa106 Posted June 8, 2009 Report Share Posted June 8, 2009 Aleksa106: Для того чтоб начальство не смотело на это сквозь пальцы стоит лишь пару раз сказать что из-за такого-то такого-то человека, который вскрыл опечатанный тобой компьютер, сеть полдня не работает.... Думаю вопрос решиться положительно. Оффтоп Если ограничение не сделано на организационном уровне то толку от технических ухищрений никакого Там сети нет... отдельный вагончик, практически в лесу... Инет только мобильный. ... Вопрос не совсем корректен т.к. политика по сути одна, но скрипт должен отработать если задать его в ветке компьютера т.к. там он выполняется с правами системы. Спасибо, всё понятно. Link to comment Share on other sites More sharing options...
Recommended Posts