Ограничить доступ в винде

Rome · 11.09.2003, 11:35

Господа!

Есть такая необходимость. Стоит вин хр, работает на ней юзер. Надо сделать так, чтобы он мог только ткнуть два ярлыка на раб. столе и больше никаких действий с системой он произвести не мог.

Как можно сделать это наиболее безболезненно?

LittelBigFace · 11.09.2003, 12:58

djRome Дык создай в xp пользователя с определенными правами.

Noname · 11.09.2003, 16:00

djRome руками настроить sequrity policy.

sl · 11.09.2003, 16:04

LittelBigFace прав так проще

zic · 11.09.2003, 16:29

Приведется повозиться с Групповыми Политиками и Локальными политиками безопасности , может еще и оболочку какую-нибудь другую прикрутить вместо explorer`a .
Все зависит насколько надежно ты хочешь изолировать пользователя от системы , и какого пользователя хочешь изолировать .

В принципе некоторые ограниченные группы уже встроены в системе , можно начинать с них .

Rome · 12.09.2003, 10:19

Я хочу чтобы он даже кнопку пуск надавить не смог.

Все что ему можно сделать - открыть две-три программы с рабочего стола и закрыть их.

zic · 12.09.2003, 14:28

djRome
ПРимерная схема работы .
1) Создаешь специального юзера с админскими правами .
2)Логинишся под ним
3)Запускаешь secpol.msc , и начинаешь работу с того что создаешь политики ограниченного использования программ ,
устанавливаешь "Не разрешено" по умолчанию , потом создаешь дополнительные правила лучше хеша для программ которые надо запускать , и выставляешь им Неограниченный .
Не забудь поставить В ключе "ПРинудительный " Политики ограничения использование программ выстави применять политику ограничения ко всем кроме локальных админов .

4)Потом настраиваешь все в Локальных политиках Назначение прав пользователей тут например можно задать запрет на выключение компа этим пользователем если нужно конечно .
Ну и посмотри что интересного в в Параметрах безопастности .

5)Далее запускаещь gpedit.msc , и в административных шаблонах пользователя ( именно пользователя а не машины ) наводишь шмон , ну например отключаешь доступ к Control Panel , убираешь контексные меню , Пункт программы из меню Пуск ( саму кнопку отключить по моему не удастся , но от этого ничего не изменится там все будет пусто

)
И далее по списку .Настраиваешь все что найдешь там , и что тебе нужно .
6)Ограниченние работы со сменными носителями делается через оснастку mmc Управление сьемными носителями .
Где данному юзеру надо запретить любой доступ , выставляешь запрещение на конкретного пользователя .
7)
Если диски в NTFS то с ними проблем нет .Выставляешь запрет этому пользователю на диски , и на реестр( кроме личных веток ).

8)Выходишь . Входишь под другим администратором и изменяешь тип пользователя на guests или users /

PS ничего из этого ты не сделаешь если у тебя XP HOME /

Rome · 15.09.2003, 10:49

О, спасибо. Такого ответа я и ожидал.
Будем пробовать.

GarrisoN · 06.11.2003, 13:21

^^^up^^^

Zexes[LT] · 10.02.2004, 13:31

zic а как сделать, что бы эта политика с сервера грузилась? (на сервера настройки, а все остальные грузят)

zic · 10.02.2004, 14:11

Zexes[LT]
Во первых что ты понимаешь под сервером ?
Серверную версию Windows в сети ?
В рабочей группе этого сделать нельзя .
Придется поднимать домен.

Zexes[LT] · 10.02.2004, 14:13

zic сервер DNS и т.д., сеть с доменами естественно.

Zexes[LT] добавил [date]1076415398[/date]:
P.S. все пользователи лежат на серваке

Zexes[LT] · 11.02.2004, 13:19

Ап :roll:

zic · 11.02.2004, 14:05

Zexes[LT]
Под доменом вообщето имелось ввиду наличие ADS а не DNS

На контроллере домена присутствует Group Policy Management Console , с ее помощью необходимо создать GPO (тобишь обьект групповой политики )Далее необходимо назначить GPO конкретной группе безопасности , сайту, домену или организационной единице.Те к группе пользователей или компьютеров в твоем случае .
Как отредактировать содержание GPO под свои нужды должен догадаться сам .
Ничего в этом трудного нет .

Zexes[LT] · 11.02.2004, 18:05

zic хм. я пробовал так в консоле (MMC) добавлял GPO (Add snap in), выбирал GPO default for domain, привязывал к нашему домену, настраивал, но нефига

Могет и сервак надо было перегрузить (попробую).

А вообще, zic, спасибо за ответы

Сорри за ламерные вопросы, но пока молодой надо учиться

zic · 12.02.2004, 01:06

Zexes[LT]
попробуй secedit /refreshpolicy (для 2k )
или gpupdate для 2k3

Zexes[LT] · 24.02.2004, 14:40

zic гм, такая хрень - если переустановить систему - то все работает

(переустановил на одной машине), а на старых по-прежнему не схватывает

Zexes[LT] добавил [date]1077626525[/date]:
это не случайность - переустановил ещё на одной - тоже схватила

)

zic · 25.02.2004, 01:08

Zexes[LT]
Хех, но и я не телепат.
Попробуй вывести -ввести оставшиеся машины в домен заново.

Zexes[LT] · 03.03.2004, 13:08

zic так, все разобрался, теперь вот какая задача:
профиль перемещаемый (храниться на сервере), при входя на комп. он создает папку с профилем в Doc & Set, и при выходе папка остается, как сделать, что бы он не создовал папку, или может, что бы при выходе/входе удалял его.

Zexes[LT] · 04.03.2004, 14:31

Uplink

zic · 06.03.2004, 00:17

ДА все также.

Computer Configuration\Administrative Templates\System\User Profiles

Delete cached copies of roaming profiles

11.09.2003, 11:35	#1
Rome Старый алкаш Сообщений: 778 Регистрация: 21.04.2003 Возраст: 48 Не в сети	Ограничить доступ в винде Господа! Есть такая необходимость. Стоит вин хр, работает на ней юзер. Надо сделать так, чтобы он мог только ткнуть два ярлыка на раб. столе и больше никаких действий с системой он произвести не мог. Как можно сделать это наиболее безболезненно?

		Большой Воронежский Форум » Компьютеры и все, что с ними связано » » Железный и soft форум
Ограничить доступ в винде

11.09.2003, 12:58	#2
LittelBigFace Каннибалисимус Сообщений: 1,264 Регистрация: 22.04.2002 Возраст: 42 Не в сети	djRome Дык создай в xp пользователя с определенными правами.

11.09.2003, 16:00	#3
Noname Форумец Сообщений: 10,808 Регистрация: 20.09.2002 Возраст: 36 Не в сети	djRome руками настроить sequrity policy.

11.09.2003, 16:04	#4
sl сплин Сообщений: 1,060 Регистрация: 22.05.2003 Не в сети	LittelBigFace прав так проще

11.09.2003, 16:29	#5
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	Приведется повозиться с Групповыми Политиками и Локальными политиками безопасности , может еще и оболочку какую-нибудь другую прикрутить вместо explorer`a . Все зависит насколько надежно ты хочешь изолировать пользователя от системы , и какого пользователя хочешь изолировать . В принципе некоторые ограниченные группы уже встроены в системе , можно начинать с них .

12.09.2003, 10:19	#6
Rome Старый алкаш Сообщений: 778 Регистрация: 21.04.2003 Возраст: 48 Не в сети	Я хочу чтобы он даже кнопку пуск надавить не смог. Все что ему можно сделать - открыть две-три программы с рабочего стола и закрыть их.

12.09.2003, 14:28	#7
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	djRome ПРимерная схема работы . 1) Создаешь специального юзера с админскими правами . 2)Логинишся под ним 3)Запускаешь secpol.msc , и начинаешь работу с того что создаешь политики ограниченного использования программ , устанавливаешь "Не разрешено" по умолчанию , потом создаешь дополнительные правила лучше хеша для программ которые надо запускать , и выставляешь им Неограниченный . Не забудь поставить В ключе "ПРинудительный " Политики ограничения использование программ выстави применять политику ограничения ко всем кроме локальных админов . 4)Потом настраиваешь все в Локальных политиках Назначение прав пользователей тут например можно задать запрет на выключение компа этим пользователем если нужно конечно . Ну и посмотри что интересного в в Параметрах безопастности . 5)Далее запускаещь gpedit.msc , и в административных шаблонах пользователя ( именно пользователя а не машины ) наводишь шмон , ну например отключаешь доступ к Control Panel , убираешь контексные меню , Пункт программы из меню Пуск ( саму кнопку отключить по моему не удастся , но от этого ничего не изменится там все будет пусто ) И далее по списку .Настраиваешь все что найдешь там , и что тебе нужно . 6)Ограниченние работы со сменными носителями делается через оснастку mmc Управление сьемными носителями . Где данному юзеру надо запретить любой доступ , выставляешь запрещение на конкретного пользователя . 7) Если диски в NTFS то с ними проблем нет .Выставляешь запрет этому пользователю на диски , и на реестр( кроме личных веток ). 8)Выходишь . Входишь под другим администратором и изменяешь тип пользователя на guests или users / PS ничего из этого ты не сделаешь если у тебя XP HOME /

15.09.2003, 10:49	#8
Rome Старый алкаш Сообщений: 778 Регистрация: 21.04.2003 Возраст: 48 Не в сети	О, спасибо. Такого ответа я и ожидал. Будем пробовать.

06.11.2003, 13:21	#9
GarrisoN Гость Сообщений: n/a	^^^up^^^

10.02.2004, 13:31	#10
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	zic а как сделать, что бы эта политика с сервера грузилась? (на сервера настройки, а все остальные грузят)

10.02.2004, 14:11	#11
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	Zexes[LT] Во первых что ты понимаешь под сервером ? Серверную версию Windows в сети ? В рабочей группе этого сделать нельзя . Придется поднимать домен.

10.02.2004, 14:13	#12
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	zic сервер DNS и т.д., сеть с доменами естественно. Zexes[LT] добавил [date]1076415398[/date]: P.S. все пользователи лежат на серваке

11.02.2004, 13:19	#13
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	Ап :roll:

11.02.2004, 14:05	#14
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	Zexes[LT] Под доменом вообщето имелось ввиду наличие ADS а не DNS На контроллере домена присутствует Group Policy Management Console , с ее помощью необходимо создать GPO (тобишь обьект групповой политики )Далее необходимо назначить GPO конкретной группе безопасности , сайту, домену или организационной единице.Те к группе пользователей или компьютеров в твоем случае . Как отредактировать содержание GPO под свои нужды должен догадаться сам . Ничего в этом трудного нет .

11.02.2004, 18:05	#15
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	zic хм. я пробовал так в консоле (MMC) добавлял GPO (Add snap in), выбирал GPO default for domain, привязывал к нашему домену, настраивал, но нефига Могет и сервак надо было перегрузить (попробую). А вообще, zic, спасибо за ответы Сорри за ламерные вопросы, но пока молодой надо учиться

12.02.2004, 01:06	#16
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	Zexes[LT] попробуй secedit /refreshpolicy (для 2k ) или gpupdate для 2k3

24.02.2004, 14:40	#17
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	zic гм, такая хрень - если переустановить систему - то все работает (переустановил на одной машине), а на старых по-прежнему не схватывает Zexes[LT] добавил [date]1077626525[/date]: это не случайность - переустановил ещё на одной - тоже схватила )

25.02.2004, 01:08	#18
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	Zexes[LT] Хех, но и я не телепат. Попробуй вывести -ввести оставшиеся машины в домен заново.

03.03.2004, 13:08	#19
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	zic так, все разобрался, теперь вот какая задача: профиль перемещаемый (храниться на сервере), при входя на комп. он создает папку с профилем в Doc & Set, и при выходе папка остается, как сделать, что бы он не создовал папку, или может, что бы при выходе/входе удалял его.

04.03.2004, 14:31	#20
Zexes[LT] it debil Сообщений: 1,578 Регистрация: 24.03.2003 Возраст: 38 Не в сети	Uplink

Как разместить платную(важную.коммерческую) тему - ИНСТРУКЦИЯ ЗДЕСЬ!

06.03.2004, 00:17	#21
zic Форумец Сообщений: 4,909 Регистрация: 08.04.2003 Возраст: 42 Не в сети	ДА все также. Computer Configuration\Administrative Templates\System\User Profiles Delete cached copies of roaming profiles

	Ваши права в разделе
	Вы не можете создавать новые темы Вы не можете отвечать в темах Вы не можете прикреплять вложения Вы не можете редактировать свои сообщения	BB коды Вкл. Смайлы Вкл. [IMG] код Вкл. HTML код Выкл. Правила форума