PDA

Показать полную графическую версию : [решено] Локальные политики безопасности в Windows - настройка и конфигурация


Страниц : [1] 2

Animal
18-11-2002, 17:48
Как известно в групповой политики можно много чего запретить/разрешить пользователям подразделения, к которому применяется групповая политика. Это для домена.

А ежели у нас раб. станция W2KPro не в сети (напр. домашний комп), то нельзя ли для локальных пользователей создать политики аналогично как в домене. Согласитесь, иногда нужная вещь...

wolf
19-11-2002, 08:34
Конечно можно!
Start->Programs->administrative tools->Local Security Policy

Но это в Вин2000Проф...

CyMpak
19-11-2002, 08:50
Animal
Тока учти, не все, что работает под NTFS работает и на FAT-е.

Animal
19-11-2002, 09:46
Wolf, Локальная политика безопасности и Групповая политика - это абсолютно разные вещи. Я имел в виду другое - запусти gpedit.msc. Я хочу иметь РАЗНЫЕ настройки для РАЗНЫХ локальных пользователей изолированного компьютера W2K. А они (настройки) там единые для всех.

Для доменных пользователей это можно сделать, создав и применив разные групповые политики для разных подразделений. Соответственно пользователи из разных подразделений будут иметь разные групповые политики. Одним можно запретить менять рисунок раб. стола, другим - ограничить размер файла на диске. Я хочу тоже самое для изолированного компа W2K Pro.

CyMpak, я это знаю. Всегда использую NTFS, так что здесь нет проблем. Вопрос в другом.

vasketsov
19-11-2002, 17:24
Animal
простейший вариант, особенно если пользователй всего парочка, такой: запускать gpedit.msc под пользователем.
менее простой, но более универсальный - написать logon-script, тем более что не все есть в этих самых стандартных шаблонах политик.

Animal
20-11-2002, 12:10
Vasketsov, спасибо во-первых.

Я должен буду под каждым локальным пользователем войти и настроить групповую политику (возможно временно всключив его в группу Администраторы). После этого для каждого локального пользователя будет действовать разная групповая политика. Я правильно Вас понял?

Про более универсальный способ: logon-script - это сценарий входа во вкладке профиль? (я привык к русским Server'у и Pro)  Если да, то что там нужно прописать (касательно групповых политик)? Если нет, то что это и что там прописать?

Просьба ответить, т.к. в литературе этот вопрос практически опускается, а описан только для доменных пользователей. Заранее благодарен.

vasketsov
20-11-2002, 13:37
Animal
везде да.
как вариант логон-скрипта - можно выполнить
regedit.exe /s account.reg
а в account.reg все что надо написано для конкретного юзера.

Animal
20-11-2002, 17:41
Сергей (Vasketsov), последний вопрос.
Что в account.reg?
Т.е. я настраиваю скажем для определенного пользователя групповую политику. Далее лезу в реестр. Какую ветвь системного реестра я должен экспортировать в файл account.reg для дальнейшего использования в сценарии регистрации данного пользователя?

P.s. Прошу извинить за назойливость.

vasketsov
20-11-2002, 17:58
Animal
тут есть сложность.

сами по себе политики в большинстве своем находятся в software\policies и software\microsoft\windows\currentversion\policies.
если их выполнять в логон-скрипте, они будут выполняться с правами пользователя, а у пользователя прав на те ключи быть не должно (только на чтение).

как вариант - в hklm\software\microsoft\widnows nt\ currentversion\ winlogon есть параметр system, все что в нем записано - выполняется под системной учетной записью, вот там их и надо выполнить.

Animal
20-11-2002, 18:53
Сергей (Vasketsov), спасибо. Только-что проверил. Информация верна (и полезна!). Но не ясна ТЕХНОЛОГИЯ работы...
Изменял групповую политику на своей рабочей станции и в HCU\software\microsoft\windows\currentversion\policies добавлялись строковые параметры. А если я зайду под другим лок. пользователем, входящем(временно) в лок. группу Администраторы, запущу gpedit.msc, то изменения затрут старые настройки (так?). Предположим я экспортировал перед изменениями ветвь реестра (см. выше) в файл 1.reg. После изменения я экспортировал ту же ветвь реестра в файл 2.reg.
Что я должен дальше делать (как можно подробнее), чтобы для пользователя User1 задействовалась ветвь реестра, сохраненная в 1.reg, а для User2 и User3 задействовалась ветвь реестра, сохраненная в 2.reg? Условие: лок. пользователи UserX не входят в лок. группу Администраторы. Если не трудно, напишите ответ для данного примера.

Достал уже наверное Вас, но хочется уже раз и навсегда окончательно разобраться.

vasketsov
21-11-2002, 17:42
А если я зайду под другим лок. пользователем, входящем(временно) в лок. группу Администраторы, запущу gpedit.msc, то изменения затрут старые настройки (так?).
Так у него же другой HKCU будет - нифига не затрутся.

Вообще заморачиваться с логон-скриптами стоит только либо в случае частой смены политик, либо в совсем жестком варианте по количеству юзеров. Попробуй просто дать юзеру админские права, порулить ему политиками, и потом отобрать админские права.

А изменять тоже можно их легко.
Положим, сидишь под собой - админом.
Даешь юзеру админские права.
Запускаешь под ним gpedit.msc.
Правишь че надо.
Закрываешь gpedit.msc.
Отбираешь права.
Все, готово.

Animal
21-11-2002, 19:37
Большое спасибо!
А можно работая под администратором HKCU других пользователей посмотреть/поправить, не заходя под ними?

Если не будет ответа, я не буду обижаться, т.к. чуствую, что достал уже человека, а полученной инфы хватит для моих целей.

DimSher
22-11-2002, 06:25
Animal
Реестр править можешь, а вот политики ИМХО нет :(

vasketsov
22-11-2002, 15:19
Dmitry Sher
Политики считываются приложениями из реестра, они только храниться могут отдельно, так что не все так плохо.

Animal
Запускаешь regedt32 - там у него Load Hive в меню есть - выбираешь из той папки, в которой профиль юзера, файл реестра - открываешь его, спросит имя - пиши любое, хоть имя юзера, после редактирования не забудь выгрузить, встав на него. Вроде как для этого привилегии кое-какие надо, типа backup/restore, но это ведь не проблема?

Animal
22-11-2002, 18:11
Спасибо. Теперь абсолютно все понятно.

Guest
05-12-2003, 13:03
Проблема такая, что когда я меняю политики для файла gpedit.msc то они меняются и для админа, и толку в таких политиках нет, т.к. то что я запретил делать юзеру не могу сделать сам :(

vasketsov
05-12-2003, 21:56
Guest
Прочитай все внимательно, что в этом топике написано.

FreeWind
13-12-2003, 02:14
не хочу громко кричать, но ...
vasketsov

по моему gpedit/msc применяется локально для группы - т.е. еслт юзверю дать прова админи, и под ним настроить политика - то для админи она тоже будеть действовать

Animal
 файлы политик локаль находятся в C:\WINNT\system32\GroupPolicy,
кроме того есть старый добрый способ - poledit? работае как для пользователей так и для групп(оно и понятно), только файл политик надо локально зафигачить, и в реестре сделать ссылку на него...

vasketsov
13-12-2003, 16:20
FreeWind
по моему gpedit/msc применяется локально для группы
А кто будет тиражировать изменения в одном HKCU для других юзеров? Да и когда запускаешь gpedit.msc, никакого вопроса про то, к какой грудде применять изменения, не задается. Так что Вы ошибаетесь.


находятся в C:\WINNT\system32\GroupPolicy
Нет, там только шаблоны политик, которые отображаются в gpedit.msc. В этом аплете mmc также имеется возможность прицепить другие шаблоны и отцепить имеющиеся, чтобы они не отображались. В нашем случае информация об установленных ограничениях будет храниться в реестре в HKLM и HKCU запустившего пользователя.

Lomaks
23-09-2005, 15:58
10 компов Win2k в рабочей группе - в домен не входят. Установил на одном запреты и разрешения Груповых политик с помощью gpedit.msc. Теперь те же самые политики нужно выставить для всех остальных компов. Можно ли как-то перенести их с одного компа на все остальные, не выставляя вручную по одтельности на каждом компьютере?

З.Ы. Сорри за возможно глупый вопрос...




© OSzone.net 2001-2012