Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   Запрет входа для пользователя (http://forum.oszone.net/showthread.php?t=108841)

Geleoss 10-06-2008 10:21 822790
Запрет входа для пользователя
 
Хотелось бы реализовать безопасную работу в ОС, для чего юзерам создаются учетные записи пользователей для работы, и учетки админа для изменения каких-то системных параметров/редкой установки приложений. Возможно есть более безопасная схема, но вроде рекомендуется именно такая.

Вопрос:
1. Как запретить учетным записям админов (кроме встроенного) логиниться (входить локально), но при этом оставить право runas.
2. Как запретить учетным записям админов (кроме встроенного) менять пользователям права.

Fanzuga 10-06-2008 12:12 822877
Цитата:
Цитата Geleoss
1. Как запретить учетным записям админов (кроме встроенного) логиниться (входить локально), но при этом оставить право runas. »
Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.
Удалить группу Администраторы. Не забыть добавить учетку - Администратор.

Цитата:
Цитата Geleoss
2. Как запретить учетным записям админов (кроме встроенного) менять пользователям права. »
Что именно имеется в виду файловые разрешения, или добавление в группы безопасности? Если втрое то с ходу не нашел такого. ИМХО на 80% решается первой задачей. Т. к. остается только одна учетка для интерактивного входа, а менять разрешения через комстроку, не всякий захочет/сможет.

Geleoss 11-06-2008 14:12 823697
Цитата:
Цитата Fanzuqa
Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.
Пробовал только через локальную политику (secpol.msc), сейчас попробовал через групповую, результат аналогичен.
Пока пробую работать под админом, а редактировать пользователя.

Код:
C:\Documents and Settings\geleoss>net user geleoss
Имя пользователя                      geleoss
..
Членство в локальных группах          *Администраторы
Членство в глобальных группах          *Отсутствует

C:\Documents and Settings\geleoss>net user geleossadm
Имя пользователя                      geleossadm
..

Членство в локальных группах          *Пользователи
Членство в глобальных группах          *Отсутствует
Код:
C:\Documents and Settings\geleoss>runas /u:geleossadm cmd
Введите пароль для geleossadm:
Попытка запуска cmd от имени пользователя "ORBIT\geleossadm" ...
ОШИБКА RUNAS: Не удается запустить - cmd
1385: Вход в систему не произведен: выбранный режим входа для данного пользовате
ля на этом компьютере не предусмотрен.
Т.е. если группы нет в "Локальном входе в систему", то команду runas выполнить не получаетдописася.

Geleoss 18-06-2008 12:50 829071
Ни у кого новых идей не появилось?

Напомню желаемую конфигурацию Win XP:
Root - аккаунт встроенного администратора, может всё. Локальный вход запрещён (не обязательно), только удаленный. Пароль юзеру не известен.
Admin - аккаунт администратора. Локально входить не может. Разрешен запуск приложений из других аккаунтов.
User - аккант польователя. Может локально входить. Разрешено установка приложений от имени администратора.

Цель: пользователь работает под учеткой пользователя; система защищена от большинства вирусов, прописывающих себя в автозапуск (реестр), возвожность изменить конфигурацию Windows ограничена, т.е. поломать что-то глобально не получиться; если какие-то программы устанавливаться, то только сознательно.

Вопрос: как реализовать запрет локального входа Admin`у, но при этом оставить право User`у устанавливать программы от имени Admin (через runas).


Время: 13:38.

Время: 13:38.
© OSzone.net 2001-