Большой Воронежский Форум
Главная Регистрация Сообщения за день
» Железный и soft форум>Ограничить доступ в винде
Rome 11:35 11.09.2003
Господа!

Есть такая необходимость. Стоит вин хр, работает на ней юзер. Надо сделать так, чтобы он мог только ткнуть два ярлыка на раб. столе и больше никаких действий с системой он произвести не мог.

Как можно сделать это наиболее безболезненно? [Ответ]
LittelBigFace 12:58 11.09.2003
djRome Дык создай в xp пользователя с определенными правами. [Ответ]
Noname 16:00 11.09.2003
djRome руками настроить sequrity policy. [Ответ]
sl 16:04 11.09.2003
LittelBigFace прав так проще [Ответ]
zic 16:29 11.09.2003
Приведется повозиться с Групповыми Политиками и Локальными политиками безопасности , может еще и оболочку какую-нибудь другую прикрутить вместо explorer`a .
Все зависит насколько надежно ты хочешь изолировать пользователя от системы , и какого пользователя хочешь изолировать .
В принципе некоторые ограниченные группы уже встроены в системе , можно начинать с них . [Ответ]
Rome 10:19 12.09.2003
Я хочу чтобы он даже кнопку пуск надавить не смог.

Все что ему можно сделать - открыть две-три программы с рабочего стола и закрыть их. [Ответ]
zic 14:28 12.09.2003
djRome
ПРимерная схема работы .
1) Создаешь специального юзера с админскими правами .
2)Логинишся под ним
3)Запускаешь secpol.msc , и начинаешь работу с того что создаешь политики ограниченного использования программ ,
устанавливаешь "Не разрешено" по умолчанию , потом создаешь дополнительные правила лучше хеша для программ которые надо запускать , и выставляешь им Неограниченный .
Не забудь поставить В ключе "ПРинудительный " Политики ограничения использование программ выстави применять политику ограничения ко всем кроме локальных админов .

4)Потом настраиваешь все в Локальных политиках Назначение прав пользователей тут например можно задать запрет на выключение компа этим пользователем если нужно конечно .
Ну и посмотри что интересного в в Параметрах безопастности .

5)Далее запускаещь gpedit.msc , и в административных шаблонах пользователя ( именно пользователя а не машины ) наводишь шмон , ну например отключаешь доступ к Control Panel , убираешь контексные меню , Пункт программы из меню Пуск ( саму кнопку отключить по моему не удастся , но от этого ничего не изменится там все будет пусто )
И далее по списку .Настраиваешь все что найдешь там , и что тебе нужно .
6)Ограниченние работы со сменными носителями делается через оснастку mmc Управление сьемными носителями .
Где данному юзеру надо запретить любой доступ , выставляешь запрещение на конкретного пользователя .
7)
Если диски в NTFS то с ними проблем нет .Выставляешь запрет этому пользователю на диски , и на реестр( кроме личных веток ).

8)Выходишь . Входишь под другим администратором и изменяешь тип пользователя на guests или users /

PS ничего из этого ты не сделаешь если у тебя XP HOME /
 [Ответ]
Rome 10:49 15.09.2003
О, спасибо. Такого ответа я и ожидал.
Будем пробовать. [Ответ]
GarrisoN 13:21 06.11.2003
^^^up^^^ [Ответ]
Zexes[LT] 13:31 10.02.2004
zic а как сделать, что бы эта политика с сервера грузилась? (на сервера настройки, а все остальные грузят) [Ответ]
zic 14:11 10.02.2004
Zexes[LT]
Во первых что ты понимаешь под сервером ?
Серверную версию Windows в сети ?
В рабочей группе этого сделать нельзя .
Придется поднимать домен. [Ответ]
Zexes[LT] 14:13 10.02.2004
zic сервер DNS и т.д., сеть с доменами естественно.

Zexes[LT] добавил [date]1076415398[/date]:
P.S. все пользователи лежат на серваке [Ответ]
Zexes[LT] 13:19 11.02.2004
Ап :roll: [Ответ]
zic 14:05 11.02.2004
Zexes[LT]
Под доменом вообщето имелось ввиду наличие ADS а не DNS
На контроллере домена присутствует Group Policy Management Console , с ее помощью необходимо создать GPO (тобишь обьект групповой политики )Далее необходимо назначить GPO конкретной группе безопасности , сайту, домену или организационной единице.Те к группе пользователей или компьютеров в твоем случае .
Как отредактировать содержание GPO под свои нужды должен догадаться сам .
Ничего в этом трудного нет . [Ответ]
Zexes[LT] 18:05 11.02.2004
zic хм. я пробовал так в консоле (MMC) добавлял GPO (Add snap in), выбирал GPO default for domain, привязывал к нашему домену, настраивал, но нефига Могет и сервак надо было перегрузить (попробую).
А вообще, zic, спасибо за ответы Сорри за ламерные вопросы, но пока молодой надо учиться [Ответ]
zic 01:06 12.02.2004
Zexes[LT]
попробуй secedit /refreshpolicy (для 2k )
или gpupdate для 2k3 [Ответ]
Zexes[LT] 14:40 24.02.2004
zic гм, такая хрень - если переустановить систему - то все работает (переустановил на одной машине), а на старых по-прежнему не схватывает

Zexes[LT] добавил [date]1077626525[/date]:
это не случайность - переустановил ещё на одной - тоже схватила ) [Ответ]
zic 01:08 25.02.2004
Zexes[LT]
Хех, но и я не телепат.
Попробуй вывести -ввести оставшиеся машины в домен заново. [Ответ]
Zexes[LT] 13:08 03.03.2004
zic так, все разобрался, теперь вот какая задача:
профиль перемещаемый (храниться на сервере), при входя на комп. он создает папку с профилем в Doc & Set, и при выходе папка остается, как сделать, что бы он не создовал папку, или может, что бы при выходе/входе удалял его. [Ответ]
Zexes[LT] 14:31 04.03.2004
Uplink [Ответ]
zic 00:17 06.03.2004
ДА все также.

Computer Configuration\Administrative Templates\System\User Profiles

Delete cached copies of roaming profiles [Ответ]
Вверх

Версия для ПК
(c) Большой Воронежский Форум