Войти

Показать полную графическую версию : Вопросы по администрированию системы Windows XP PRO


wale
05-06-2007, 19:48
Привет!.. Есть вопрос по системе ХР PRO.

Я создаю несколько учетных записей пользователей, сам - администратор. Как мне поставить запрет на определенного пользователя.
Мне нужно запретить ему изменять свойства экрана, стили меню и окон.
А также двигать, создавать, удалять, изменять значки на рабочем столе и в меню пуск, подключения удаленного доступа.
И еще запрет на запуск некоторых программ. Ну и естественно, запрет на установку любого ПО.
Как это сделать?

Coutty
05-06-2007, 19:57
Я думаю, что оптимальный вариант - это не пускать пользователя к компьютеру.

Если нужен неоптимальный, то:
1. Свойства экрана и стили - в групповых политиках (gpedit.msc)
2. Создавать/удалять значки на столе и в меню "пуск" - дискреционный доступ (тот, что на вкладке "безопасность" в свойствах папки рабочего стола пользователя).
3. Двигать значки не запретить.
4. Что значить "изменять"? Переименовывать? В свойствах ярлыка копаться? Тогда см. п.2.
5. Подключения удалённого доступа не знаю.
6. Запрет запуска/установки - замкнутая программная среда. В групповых политиках есть возможность запретить/разрешить программы, но имхо это только защита от дурака. Для более серьёзных пользователей нужна сторонняя защита. (Например, SecretNet. Я что-то многим её предлагаю, хотя она довольно дорогая. Альтернативу просто не искал).
И, вроде, в групповых политиках можно запретить установку. Там сам покопайся - много чего интересного.
Не забудь также про доступ к портам и про мультизагрузку.

wale
05-06-2007, 20:21
Искренне благодарю, для меня это ценная информация..

wale
09-06-2007, 15:01
Привет... Такой вопрос - я запрещаю изменение обоев на рабочем столе из груповых политик (gpedit), но пользователи меняют заставку с помощью программы "просмотр изображений" (родная Windows'а) или ACDSee, как это запретить?

Coutty
09-06-2007, 17:44
Сходу в голову приходит один вариант. Считаю его неразумным, если пользователей много.
Шаг 1. В папке пользователя находим файл background.bmp или wallpaper.bmp (или даже какой-то другой. Сейчас нет windows под рукой - не могу сказать точно. Воспользуйтесь поиском.) В общем, тот файл, где обоина. Затем оставляем пользователю доступ только на чтение к этому файлу.
Шаг 2. В реестре находим параметр, отвечающий за путь к обоине. Устанавливаем запрет на его изменение. Опять же, имя раздела не помню, воспользуйтесь поиском по реестру (искать надо имя того файла, что в шаге 1 нашли). Но, скорее всего это придётся делать из-под самого пользователя. Поэтому более простой способ - закрыть доступ к реестру.

Наверняка есть более простой путь, но за неимением windows под рукой (перезагружаться надо) посмотреть не могу.

wale
11-06-2007, 13:00
Не получается... Ни такого, ни похожего файла нет в ни папке пользователя, ни в папке Windows, нигде...
Еще, если я ставлю ACDSee, или IrfanView, например, эти программы создают свой файл обоев и его используют, но пользователи находят способ изменять их (обои).. Я подумал, если бы можно было удалить строчку из контекстного меню проводника "Установить как фоновый рисунок", и такие же строчки из контекстных меню программ "Просмтора Изображений" и "ACDSee" - проблема бы решилась.. Но я не знаю как..

Кстати, когда я захожу во вкладку безопасность свойств любого файла и ставлю запрет на изменение, Windows его как будто игнорирует.. Пример во вложении..

amel27
11-06-2007, 15:08
оставляем пользователю доступ только на чтение
Не работает... Во всяком случае во время текущего сеанса пользователь может поменять текущую обоину независимо от прав на файлы и реестр... другое дело, что после перерегистрации его изменения профиля при отсутствии этих прав не сохранятся... Впрочем, этой цели можно добиться и без манипуляций с правами - в политиках есть параметр, задающий "Рисунок рабочего стола Active Desktop".

Coutty
11-06-2007, 19:26
Ни такого, ни похожего файла нет в ни папке пользователя, ни в папке Windows, нигде...
Найду - мой будет?))
C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\Wallpaper1.bmp (это если обои ставились через свойства стола рабов).
В реестре:
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper, Wallpaper и ConvertedWallpaper. Но тут, похоже, доступ на чтение надо ставить на всю ветку Desktop.
Только эту ветку надо смотреть из-под пользователя, а не из-под админа.

amel27, так в текущем сеансе пусть ставит что захочет. Просто - как второй вариант. Авось сработает...

wale
12-06-2007, 11:36
Спасибо, все работает! =)))

Coutty
12-06-2007, 11:59
Только эту ветку надо смотреть из-под пользователя, а не из-под админа.
Какую глупость сморозил... Если пользователь запретил, так он же и разрешить может.
Как мне советовали - дать права администратора, изменить настройки и отобрать права админа.




© OSzone.net 2001-2012