Показать полную графическую версию : [решено] Локальные политики безопасности в Windows - настройка и конфигурация
Как известно в групповой политики можно много чего запретить/разрешить пользователям подразделения, к которому применяется групповая политика. Это для домена.
А ежели у нас раб. станция W2KPro не в сети (напр. домашний комп), то нельзя ли для локальных пользователей создать политики аналогично как в домене. Согласитесь, иногда нужная вещь...
Конечно можно!
Start->Programs->administrative tools->Local Security Policy
Но это в Вин2000Проф...
Animal
Тока учти, не все, что работает под NTFS работает и на FAT-е.
Wolf, Локальная политика безопасности и Групповая политика - это абсолютно разные вещи. Я имел в виду другое - запусти gpedit.msc. Я хочу иметь РАЗНЫЕ настройки для РАЗНЫХ локальных пользователей изолированного компьютера W2K. А они (настройки) там единые для всех.
Для доменных пользователей это можно сделать, создав и применив разные групповые политики для разных подразделений. Соответственно пользователи из разных подразделений будут иметь разные групповые политики. Одним можно запретить менять рисунок раб. стола, другим - ограничить размер файла на диске. Я хочу тоже самое для изолированного компа W2K Pro.
CyMpak, я это знаю. Всегда использую NTFS, так что здесь нет проблем. Вопрос в другом.
vasketsov
19-11-2002, 17:24
Animal
простейший вариант, особенно если пользователй всего парочка, такой: запускать gpedit.msc под пользователем.
менее простой, но более универсальный - написать logon-script, тем более что не все есть в этих самых стандартных шаблонах политик.
Vasketsov, спасибо во-первых.
Я должен буду под каждым локальным пользователем войти и настроить групповую политику (возможно временно всключив его в группу Администраторы). После этого для каждого локального пользователя будет действовать разная групповая политика. Я правильно Вас понял?
Про более универсальный способ: logon-script - это сценарий входа во вкладке профиль? (я привык к русским Server'у и Pro) Если да, то что там нужно прописать (касательно групповых политик)? Если нет, то что это и что там прописать?
Просьба ответить, т.к. в литературе этот вопрос практически опускается, а описан только для доменных пользователей. Заранее благодарен.
vasketsov
20-11-2002, 13:37
Animal
везде да.
как вариант логон-скрипта - можно выполнить
regedit.exe /s account.reg
а в account.reg все что надо написано для конкретного юзера.
Сергей (Vasketsov), последний вопрос.
Что в account.reg?
Т.е. я настраиваю скажем для определенного пользователя групповую политику. Далее лезу в реестр. Какую ветвь системного реестра я должен экспортировать в файл account.reg для дальнейшего использования в сценарии регистрации данного пользователя?
P.s. Прошу извинить за назойливость.
vasketsov
20-11-2002, 17:58
Animal
тут есть сложность.
сами по себе политики в большинстве своем находятся в software\policies и software\microsoft\windows\currentversion\policies.
если их выполнять в логон-скрипте, они будут выполняться с правами пользователя, а у пользователя прав на те ключи быть не должно (только на чтение).
как вариант - в hklm\software\microsoft\widnows nt\ currentversion\ winlogon есть параметр system, все что в нем записано - выполняется под системной учетной записью, вот там их и надо выполнить.
Сергей (Vasketsov), спасибо. Только-что проверил. Информация верна (и полезна!). Но не ясна ТЕХНОЛОГИЯ работы...
Изменял групповую политику на своей рабочей станции и в HCU\software\microsoft\windows\currentversion\policies добавлялись строковые параметры. А если я зайду под другим лок. пользователем, входящем(временно) в лок. группу Администраторы, запущу gpedit.msc, то изменения затрут старые настройки (так?). Предположим я экспортировал перед изменениями ветвь реестра (см. выше) в файл 1.reg. После изменения я экспортировал ту же ветвь реестра в файл 2.reg.
Что я должен дальше делать (как можно подробнее), чтобы для пользователя User1 задействовалась ветвь реестра, сохраненная в 1.reg, а для User2 и User3 задействовалась ветвь реестра, сохраненная в 2.reg? Условие: лок. пользователи UserX не входят в лок. группу Администраторы. Если не трудно, напишите ответ для данного примера.
Достал уже наверное Вас, но хочется уже раз и навсегда окончательно разобраться.
vasketsov
21-11-2002, 17:42
А если я зайду под другим лок. пользователем, входящем(временно) в лок. группу Администраторы, запущу gpedit.msc, то изменения затрут старые настройки (так?).
Так у него же другой HKCU будет - нифига не затрутся.
Вообще заморачиваться с логон-скриптами стоит только либо в случае частой смены политик, либо в совсем жестком варианте по количеству юзеров. Попробуй просто дать юзеру админские права, порулить ему политиками, и потом отобрать админские права.
А изменять тоже можно их легко.
Положим, сидишь под собой - админом.
Даешь юзеру админские права.
Запускаешь под ним gpedit.msc.
Правишь че надо.
Закрываешь gpedit.msc.
Отбираешь права.
Все, готово.
Большое спасибо!
А можно работая под администратором HKCU других пользователей посмотреть/поправить, не заходя под ними?
Если не будет ответа, я не буду обижаться, т.к. чуствую, что достал уже человека, а полученной инфы хватит для моих целей.
Animal
Реестр править можешь, а вот политики ИМХО нет :(
vasketsov
22-11-2002, 15:19
Dmitry Sher
Политики считываются приложениями из реестра, они только храниться могут отдельно, так что не все так плохо.
Animal
Запускаешь regedt32 - там у него Load Hive в меню есть - выбираешь из той папки, в которой профиль юзера, файл реестра - открываешь его, спросит имя - пиши любое, хоть имя юзера, после редактирования не забудь выгрузить, встав на него. Вроде как для этого привилегии кое-какие надо, типа backup/restore, но это ведь не проблема?
Спасибо. Теперь абсолютно все понятно.
Проблема такая, что когда я меняю политики для файла gpedit.msc то они меняются и для админа, и толку в таких политиках нет, т.к. то что я запретил делать юзеру не могу сделать сам :(
vasketsov
05-12-2003, 21:56
Guest
Прочитай все внимательно, что в этом топике написано.
FreeWind
13-12-2003, 02:14
не хочу громко кричать, но ...
vasketsov
по моему gpedit/msc применяется локально для группы - т.е. еслт юзверю дать прова админи, и под ним настроить политика - то для админи она тоже будеть действовать
Animal
файлы политик локаль находятся в C:\WINNT\system32\GroupPolicy,
кроме того есть старый добрый способ - poledit? работае как для пользователей так и для групп(оно и понятно), только файл политик надо локально зафигачить, и в реестре сделать ссылку на него...
vasketsov
13-12-2003, 16:20
FreeWind
по моему gpedit/msc применяется локально для группы
А кто будет тиражировать изменения в одном HKCU для других юзеров? Да и когда запускаешь gpedit.msc, никакого вопроса про то, к какой грудде применять изменения, не задается. Так что Вы ошибаетесь.
находятся в C:\WINNT\system32\GroupPolicy
Нет, там только шаблоны политик, которые отображаются в gpedit.msc. В этом аплете mmc также имеется возможность прицепить другие шаблоны и отцепить имеющиеся, чтобы они не отображались. В нашем случае информация об установленных ограничениях будет храниться в реестре в HKLM и HKCU запустившего пользователя.
10 компов Win2k в рабочей группе - в домен не входят. Установил на одном запреты и разрешения Груповых политик с помощью gpedit.msc. Теперь те же самые политики нужно выставить для всех остальных компов. Можно ли как-то перенести их с одного компа на все остальные, не выставляя вручную по одтельности на каждом компьютере?
З.Ы. Сорри за возможно глупый вопрос...
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.