Показать полную графическую версию : Вопросы по администрированию системы Windows XP PRO
Привет!.. Есть вопрос по системе ХР PRO.
Я создаю несколько учетных записей пользователей, сам - администратор. Как мне поставить запрет на определенного пользователя.
Мне нужно запретить ему изменять свойства экрана, стили меню и окон.
А также двигать, создавать, удалять, изменять значки на рабочем столе и в меню пуск, подключения удаленного доступа.
И еще запрет на запуск некоторых программ. Ну и естественно, запрет на установку любого ПО.
Как это сделать?
Я думаю, что оптимальный вариант - это не пускать пользователя к компьютеру.
Если нужен неоптимальный, то:
1. Свойства экрана и стили - в групповых политиках (gpedit.msc)
2. Создавать/удалять значки на столе и в меню "пуск" - дискреционный доступ (тот, что на вкладке "безопасность" в свойствах папки рабочего стола пользователя).
3. Двигать значки не запретить.
4. Что значить "изменять"? Переименовывать? В свойствах ярлыка копаться? Тогда см. п.2.
5. Подключения удалённого доступа не знаю.
6. Запрет запуска/установки - замкнутая программная среда. В групповых политиках есть возможность запретить/разрешить программы, но имхо это только защита от дурака. Для более серьёзных пользователей нужна сторонняя защита. (Например, SecretNet. Я что-то многим её предлагаю, хотя она довольно дорогая. Альтернативу просто не искал).
И, вроде, в групповых политиках можно запретить установку. Там сам покопайся - много чего интересного.
Не забудь также про доступ к портам и про мультизагрузку.
Искренне благодарю, для меня это ценная информация..
Привет... Такой вопрос - я запрещаю изменение обоев на рабочем столе из груповых политик (gpedit), но пользователи меняют заставку с помощью программы "просмотр изображений" (родная Windows'а) или ACDSee, как это запретить?
Сходу в голову приходит один вариант. Считаю его неразумным, если пользователей много.
Шаг 1. В папке пользователя находим файл background.bmp или wallpaper.bmp (или даже какой-то другой. Сейчас нет windows под рукой - не могу сказать точно. Воспользуйтесь поиском.) В общем, тот файл, где обоина. Затем оставляем пользователю доступ только на чтение к этому файлу.
Шаг 2. В реестре находим параметр, отвечающий за путь к обоине. Устанавливаем запрет на его изменение. Опять же, имя раздела не помню, воспользуйтесь поиском по реестру (искать надо имя того файла, что в шаге 1 нашли). Но, скорее всего это придётся делать из-под самого пользователя. Поэтому более простой способ - закрыть доступ к реестру.
Наверняка есть более простой путь, но за неимением windows под рукой (перезагружаться надо) посмотреть не могу.
Не получается... Ни такого, ни похожего файла нет в ни папке пользователя, ни в папке Windows, нигде...
Еще, если я ставлю ACDSee, или IrfanView, например, эти программы создают свой файл обоев и его используют, но пользователи находят способ изменять их (обои).. Я подумал, если бы можно было удалить строчку из контекстного меню проводника "Установить как фоновый рисунок", и такие же строчки из контекстных меню программ "Просмтора Изображений" и "ACDSee" - проблема бы решилась.. Но я не знаю как..
Кстати, когда я захожу во вкладку безопасность свойств любого файла и ставлю запрет на изменение, Windows его как будто игнорирует.. Пример во вложении..
оставляем пользователю доступ только на чтение
Не работает... Во всяком случае во время текущего сеанса пользователь может поменять текущую обоину независимо от прав на файлы и реестр... другое дело, что после перерегистрации его изменения профиля при отсутствии этих прав не сохранятся... Впрочем, этой цели можно добиться и без манипуляций с правами - в политиках есть параметр, задающий "Рисунок рабочего стола Active Desktop".
Ни такого, ни похожего файла нет в ни папке пользователя, ни в папке Windows, нигде...
Найду - мой будет?))
C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (это если обои ставились через свойства стола рабов).
В реестре:
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper, Wallpaper и ConvertedWallpaper. Но тут, похоже, доступ на чтение надо ставить на всю ветку Desktop.
Только эту ветку надо смотреть из-под пользователя, а не из-под админа.
amel27, так в текущем сеансе пусть ставит что захочет. Просто - как второй вариант. Авось сработает...
Спасибо, все работает! =)))
Только эту ветку надо смотреть из-под пользователя, а не из-под админа.
Какую глупость сморозил... Если пользователь запретил, так он же и разрешить может.
Как мне советовали - дать права администратора, изменить настройки и отобрать права админа.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.