[ОТВЕТИТЬ]
30.07.2007 06:28
Mike
 
Как в WinXP настроить права пользователя таким образом чтобы он мог запускать только разрешенные для него программы?

И вообще поделитесь опытом с начинающим, какие права вы даете пользователям например на комп оператора?

Заранее благодарен.
30.07.2007 07:51
Vovantus
 
Моё ИМХО - нуна однозначно поднимать контроллер домена. Следовательно, для этого необходима серверная ось и навыки администрирования соответствующего уровня.
Локально ограничить в правах пользователя проблематично и геморойно. Я с этим сталкивался как-то.. Но если хочешь попробовать - пробуй! Один момент:

Для начала весь необходимый софт устанавливаешь и настраиваешь под админской учётной записью. Затем уже раздаёшь права на файлы/службы/папки. Но, к примеру, запретить устанавливать ПОСТОРОННИЙ софт стандартными, встроенными в ось средствами, ты не сможешь скорее всего, уж больно бедна в этом плане Windows *140
30.07.2007 08:31
OlegON
 
Цитата:
Запрещение запуска программ
Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.
Для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...
Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0
не надо так критично, контроллер домена поднимать, если компов, скажем, всего три, не стОит. Ставить все проги из под админа тоже не стОит, ибо не все программы рассчитаны на запуск из под того пользователя из под какого они не ставились. Ограничить можно, но я бы к ограничениям добавил бы отключение внешних устройств, аудит и административные санкции, т.е. штрафовал бы игрунов. А с машины бы снял образ после настройки, как рабочей станции и в крайних случаях просто бы перезаписывал диск им.
30.07.2007 08:33
Mtirt
 
Цитата:
Vovantus Моё ИМХО - нуна однозначно поднимать контроллер домена.

Ага. Контроллер домена это Win2003. А стоит он немало. Данный метод не самый лучший с финансовой точки зрения.
30.07.2007 09:36
Vovantus
 
Цитата:
Mtirt Ага. Контроллер домена это Win2003. А стоит он немало. Данный метод не самый лучший с финансовой точки зрения.
.. ну тогда забить на разграничения прав и дать полный доступ юзеру.. чем заморачиваться с правами! В условиях, когда компов более 10 и они территориально разбросаны по нескольким помещениям/зданиям, заморачиваться такой фигнёй не стоит, т.к. все функции админа сведутся к беготне между компами. Есть более действенные методы:

Цитата:
аудит и административные санкции, т.е. штрафовал бы игрунов
делается так. Пишется какая-нить бамажка, в ней указывается всё что запрещено делать на компе. Далее она согласовывается с начальством и каждый работник после ознакомления подписывает её. Потом всё просто работает: отловил наружителя - бац по по зарплате в установленном порядке. После нескольких показательных ая-я-й ситуация измениться в лучшую сторону.
30.07.2007 09:38
Mike
 
Спасибо. А как на счет установки новых программ, можно как нибудь запретить все таки это пользователям?
30.07.2007 09:40
Mike
 
Компом мало всего 5, и опыта поднятия контроллера домена у меня нет, поэтому хотелось бы как нибудь проще.
30.07.2007 09:46
Vovantus
 
Цитата:
Mike Спасибо. А как на счет установки новых программ, можно как нибудь запретить все таки это пользователям?
вообще, как я писал выше, стандартными средствами операционки мало что можно запретить. Вариант с отключением приводов и других носителей информации тоже связан с кучей заморочек. Мой тебе совет, НЕ ЗАМОРАЧИВАЙСЯ. Лучше один раз настрой операционку + софт, соххрани образ на серваке и на диске, и пусть юзеры делают что хотят на компе. В случае сбоя вставил диск, восстановил всё из образа и все дела. Но для этого нуна диск на логические разделы разбить. Операционка на C, всё важное на D... Лучше продумай как это всё важное на сервак копировать "на всякий случай".
30.07.2007 09:51
Mike
 
Ясно, спасибо. Подумаю еще, как чего сделать. Просто сейчас пока один магазин перевели на Супермаг, скоро еще 3 + ЦО и ЦС, хотелось бы услышать мнения людей кто как чего настраивает, чтобы сразу все сделать правильно и потом не париться, а то опыту в администрировании очень мало.
30.07.2007 09:54
Vovantus
 
Цитата:
Mike Ясно, спасибо. Подумаю еще, как чего сделать. Просто сейчас пока один магазин перевели на Супермаг, скоро еще 3 + ЦО и ЦС, хотелось бы услышать мнения людей кто как чего настраивает, чтобы сразу все сделать правильно и потом не париться, а то опыту в администрировании очень мало.
.. тем более не заморачивайся пока с разграничением прав. Если такие глобальные планы, то полагаю другой работы у тебя куча будет
30.07.2007 16:18
akonev
 
Групповыми политиками все очччччень хорошо ограничивается.
gpedit.msc - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Политики ограниченного использования программ.
Выбираем пункт, потом лезем в справку и читаем до умопомрачения.
Это если в самом деле сильно хочется.

НО! Чтобы тупо прицепить потом юзеру принтер этикеток по net.exe use ,
тебе надо будет: перегрузиться в админа, разрешить юзеру вызов net.exe, загрузиться юзером, прицепить потерявшийся порт, снова грузиться админом, запрещать net.exe, опять грузиться юзером, чтобы проверить.
Ну понятное дело, что ты можешь навсегда разрешить юзерам этот самый net.exe
Дело не в нем. Это просто пример того, какой головняк тебя ждет, пока ты не родишь исчерпывающий список разрешений.

Если еще не испугался - имей в виду, что все игры с политиками надо вести на тестовой машине. Классический прикол - запретить себе на сервере запускать все (включая редактор политик), кроме какого-нибудь ворда, к примеру.
30.07.2007 19:07
OlegON
 
Цитата:
Andrew_Konev Классический прикол - запретить себе на сервере запускать все (включая редактор политик), кроме какого-нибудь ворда, к примеру.
Второй классический прикол (на NT было, не знаю, можно ли повторить на 2000 и выше): Запретить себе запись на диск. Правда отъемом Owner'а все можно вернуть, но все равно неприятно для чайника :)
01.08.2007 03:02
7fox7
 
Цитата:
OlegON ...Запрещение запуска программ...
Переименование Пасьянс.exe в Word.exe

Цитата:
Mtirt Ага. Контроллер домена это Win2003. А стоит он немало. Данный метод не самый лучший с финансовой точки зрения.
Рассмотрите вариант эмуляции Контроллера Домена на *nix samba.
01.08.2007 06:47
Mtirt
 
Цитата:
7fox7 Рассмотрите вариант эмуляции Контроллера Домена на *nix samba.
Рассмотрела. Работает. С кучей ограничений...
Только автор топика этого точно не сделает.
01.08.2007 07:50
OlegON
 
Цитата:
7fox7 Переименование Пасьянс.exe в Word.exe
Никто не говорит, что способ идеален. Пасьянса быть не должно (ограничение внешних носителей). Против этого и внешний винт подключать, разобрав комп. Не думаю, что в обычных условиях можно 100% ограничить желающего поиграть, например... Тогда уж лучше двигаться в сторону бездисковых станций, тоже с переменным успехом.
11.08.2007 18:19
mamont
 
Цитата:
7fox7 Переименование Пасьянс.exe в Word.exe
список разрешенных надо создавать по хешу, а не по имени.
(плюс защита от некоторых вирусов, зараженный файл не будет запускаться)
сидюк можно смонтировать в папку куда простому юзеру нет доступа.
05.04.2008 03:29
GENDALF
 
Есть такое как XPTweaker 1.5***
Устанавливаешь.Запускаешь (если Ось-XP) система тя попросит сделать Restore Poin (Точку восстановления системы (дело ваше делать ее или не делать)).... Открывается Твикер,... вкладка "Файлы и Диски" в 3х пунктах написанных на русском языке думаю не сложно разобраться...
PS: Где то про это твикер писалось в форуме, вещь очень хорошая, пользуюсь очень давно!
05.04.2008 14:57
mamont
 
твикер спрячет диски только в проводнике, через far и прочие командеры диски будут по прежнему видны
12.04.2008 02:20
GENDALF
 
Доступ к дискам (файловой системе)...

Выше я говорил про то, как установить доступ к запуску программ... Если, конечно, предоставить доступ к файловому менеджеру, хм.... цель ограничения доступа к запуску программ вобще в чем заключается...

У меня насроено..: пользователь может запускать MSW и MSExel, winmediaplayer... все! на этом эго права заканчиваются... никто не жалуется... на работе работать надо :)
Опции темы


Часовой пояс GMT +3, время: 15:03.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.