Здравствуйте!
Средняя школа, ЛВС, контроллер на Вин 2003, GPO. Рабочие станции на Вин 2000 и ХР. Ученики шалят и через правый щелчок по трею сетевого подключения (рядом с часами), Отключить - отключают сетевой интерфейс. Через GPO поставил Конфигурация пользователя-Административные шаблоны-Сеть-Сетевые подключения - для учеников стоит везде Включено. Но пункт Отключить контекстного меню значка сетевого подключения все равно активен. И они, ученики, отключают станцию от сети. А через сеть завязаны сетевые диски и перенаправлен Пуск. Подскажите пожалуйста, где еще можно в GPO включить, чтобы они не смогли отключать сетевой интерфейс.

Спасибо

Ты че смертник давать им право локального админа, переводи их всех на опытного и не мучайся, а лучше гость

Diesel315,
Есть электронные учебники, например Кирилл и Мифодий, требуют для работы права админа. Прошу не говорить, что взял, посмотрел в какие ветви реестра пишет, сменил права. Не один год с ними работаю, все тщетно.

Когда домена не было, локальными политиками задушил учетки учеников по самое "не могу". И сеть не отключали. Перейдя 2 года на домен, настраивая GPO не могу воспроизвести эти настройки, блокирующие отключение.

Спасибо

YDen, А почему нельзя пойти обходным путем: создать назначенное задание в планировщике, которое будет от имени админа запускать нужную программу, а школьникам - ярлык на запуск задания?

Немного поясню.
Да у меня на рабочих станциях ученики локальные админы. Но при этом сильно зажаты в разрешенных действиях.
Отключены: панель управления, выполнить, настройка, подключение\отключение сетевых дисков, свойства системы, управление, возможность изменения всех сетевых настроек. Запрещен доступ к локальным дискам (включены 2 сетевых диска), флешки и автозагрузка отключены. Пуск перенаправлена на сервер. Ну и естественно настройки экрана тоже запрещены. Это все дает более-менее уверенность, что не напакостят. Есть конечно дырки, но уровень учеников средней школы не позволяет им это сделать.

Еще раз повторюсь, когда эти же машины не были в домене, я все разруливал локальными политиками. И там возможности отключения сетевого интерфейса не было. Перейдя на домен и GPO, я не могу восстановить эту настройку. Вот поэтому и прошу помощи.

Спасибо

Отключены: панель управления
Если при такой настройке скрыть иконку подключения из трея (в свойствах сетевого подключения), то никто ничего отключить уже не сможет.

Да у меня на рабочих станциях ученики локальные админы. Но при этом сильно зажаты в разрешенных действиях. »
Локальный админ может делать на своем компьютере ВСЁ.

Если при такой настройке скрыть иконку подключения из трея (в свойствах сетевого подключения), то никто ничего отключить уже не сможет. »

Да, в курсе об этом. Просто машин 40 штук, через GPO было бы и быстрее и для опыта полезнее. Ведь делал же. Если не найду другой способ, скрою значок в трее.

Локальный админ может делать на своем компьютере ВСЁ. »

4 года такая конфигурация работает, глобальных проблем с "хакерами" не было. Они на словах просто все мастера, максимум систему могут переставить - на это и упор.

А почему нельзя пойти обходным путем: создать назначенное задание в планировщике, которое будет от имени админа запускать нужную программу, а школьникам - ярлык на запуск задания? »

Часть учеников (старшие классы) работают под индивидуальными учетками - занесены в группу Ученики. Вот эту группу и указываю как лок. админы. Теперь представьте, если делать задания, как вы советуете, то это нужно делать под каждым пользователем, а машин 40.

Локальный админ может делать на своем компьютере ВСЁ. »

В домене? Доменный юзер с правами локального админа? ню-ню

В домене? Доменный юзер с правами локального админа? ню-ню »

monkkey имел ввиду, что в пределах рабочей станции локальный админ может делать все. Но только локальные операции. Например, доменную учетку изменить не может, но локальную влет.

YDen,

не знаю, что имел ввиду monkkey, но в условиях вашей задачи то, что имел ввиду я

то, что имел ввиду я »

Поясните пожалуйста.

Не уверен что это есть в 2003 а проверить сейчас уже не на чем, но в 2008 есть следующая ветка:
User Configuration - Administrative templates - Network - Network Connections
и там разрешаем/запрещаем все что хочешь касаемо сети в том числе и для локальных админов

Не уверен что это есть в 2003 а проверить сейчас уже не на чем, но в 2008 есть следующая ветка:
User Configuration - Administrative templates - Network - Network Connections
и там разрешаем/запрещаем все что хочешь касаемо сети в том числе и для локальных админов »

Да, вы правы, есть такая ветка.
Самое интересное - стоит все пункты включены, в тч и Запретить отключени\подключение сетевых (дальше забыл)

Вот в этом и весь болт, где-то эта настройка перекрывается. Смотрел локальные политики - стоит незадано.

Как вариант - можно попробовать включить User Group policy looback processing mode в Replace в ветке Computer Configuration - Administrative templates - System - Group policy
Это принудительно заменит настройки локальные и те что прописаны для компьютера на те что прописаны в настройках пользователя в политике

YDen, а политика "Включить политики сетевых подключений Windows 2000 для администраторов" включена?

а политика "Включить политики сетевых подключений Windows 2000 для администраторов" включена? »

Не могу ее найти. Но судя по названию она не при чем, т.к трабл идет и на ХР.

Поясните пожалуйста. »

моя логика:

контроллер на Вин 2003 »

+

локальными политиками задушил учетки учеников »

+

Да у меня на рабочих станциях ученики локальные админы »

= доменные юзеры с правами локального админа

(отнюдь не локальные администраторы - хотя последних тоже можно придушить групповыми политиками)


local administrator <> domain user with local administrator privileges

все что хочешь касаемо сети в том числе и для локальных админов »
Еще раз могу сказать, что локальный админ может запустить regedit и всё переписать, также создать нового локального администратора и т.п., т.е. сделать на локальной машине ВСЁ.

Но судя по названию она не при чем, т.к трабл идет и на ХР. »
Скорее всего очень даже при чем :)
Конфигурация пользователя->Административные шаблоны->Сеть->Сетевые подключения->Включить политики сетевых подключений Windows 2000 для администраторов

Определяет, будут ли политики, существовавшие в семйстве серверов Windows 2000, применяться для администраторов.

Набор групповых политик сетевых подключений, существовавший в Windows 2000 Professional, также существует и в Windows XP Professional. В Windows 2000 Professional, все эти политики имели способность запрещать использование некоторых возможностей для администраторов.

По умолчанию, групповые политики сетевых подключений в Windows XP Professional не имеют способности запрещать использование возможностей для администраторов.

Если эта политика включена, политики Windows XP Professional, существовавшие в Windows 2000 Professional, могут запрещать использование некоторых возможностей для администраторов. Это следующие политики: "Способность переименовывать LAN-подключения и общие подключения удаленного доступа", "Запретить доступ к свойствам компонентов подключений по локальной сети", "Запретить доступ к свойствам компонентов подключений удаленного доступа", "Запретить дополнительную настройку TCP/IP", "Запретить доступ к команде 'Дополнительные параметры' в меню 'Дополнительно'", "Запретить добавление и удаление компонентов для подключений LAN или удаленного доступа", "Запретить доступ к свойствам подключений по локальной сети", "Запретить включение и отключение компонентов подключений по локальной сети", "Способность изменения свойств общих подключений удаленного доступа", "Запретить изменение свойств личных подключений удаленного доступа", "Запретить удаление подключений удаленного доступа", "Способность удалять общие подключения удаленного доступа", "Запретить подключение и отключение для подключений удаленного доступа", "Способность подключать и отключать подключения по локальной сети", "Запретить доступ к мастеру новых подключений", "Запретить переименование личных подключений удаленного доступа", "Запретить доступ к команде 'Параметры удаленного доступа' в меню 'Дополнительно'", "Запретить просмотр состояния для активного подключения". Когда эта политика включена, политики, которые существуют как в Windows 2000 Professional, так и в Windows XP Professional, ведут себя как и прежде, продолжая оказывать влияние на администраторов.

Если эта политика отключена или не задана, политики Windows XP Professional, ранее существовавшие в Windows 2000 Professional, не будет применяться для администраторов.

Примечание: эта политика предназначается для тех случаев, когда GPO, к которым применялись эти политики, содержат компьютеры и Windows 2000 Professional, и Windows XP Professional, причем требуется обеспечить идентичное поведение политик сетевых подключений для всех компьютеров - и Windows 2000 Professional, и Windows XP Professional.