Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] ограничение прав пользователя и политика безопасности (http://forum.oszone.net/showthread.php?t=264859)

Химия_и_жисть 24-07-2013 09:36 2189605
ограничение прав пользователя и политика безопасности
 
Здравствуйте! Есть комп, на нём стоит ХР СП 3, есть встроенная админская учетка и учетка пользователя. Нужно было ограничить права пользователя, чтобы у него был только доступ в интернет, при этом он не мог изменять параметры компа и лазать по локальной сети и рабочей группе. Админская учетка была соответственно запоролена. Открыта оснастка gpedit.msc через "Выполнить", для проверки были отключены многие функции, так же доступ к панели управления, нельзя вызвать команду "выполнить", но вышло так, что не до конца был ограничен доступ к сети, т.е. пользователь может зайти в сетевое окружение и видеть остальные компы в рабочей группе. Комп был перезагружен, но проблема в том, что ограничения доступа к управлению распространяются в ХР на всех, т.е. и на админскую учетку тоже, то есть теперь я не могу под админской учеткой войти в оснастку и добиться уже полного желаемого результата, т.к. даже вызов команды "выполнить" запрещен. Что можно сделать?

Petya V4sechkin 24-07-2013 09:50 2189614
Цитата:
Цитата Химия_и_жисть
теперь я не могу под админской учеткой войти в оснастку и добиться уже полного желаемого результата, т.к. даже вызов команды "выполнить" запрещен. Что можно сделать?
Пуск -> Все программы -> Стандартные -> Служебные -> Восстановление системы.

Цитата:
Цитата Химия_и_жисть
ограничения доступа к управлению распространяются в ХР на всех

Химия_и_жисть 24-07-2013 09:51 2189615
запустил оснастку через командную строку..слава богу не успел её отключить...но теперь вот думаю как сделать так, чтобы ограничить права, при этом чтобы админская учетка могла делать всё что нужно админитратору ?

Химия_и_жисть 24-07-2013 10:30 2189640
Petya V4sechkin,

в Ваших ссылках есть статья, которая в принципе подходит по действиям, которые нужны:

http://support.microsoft.com/kb/325351/ru

нно, после того, как создаются ограничения для пользователей, они подразумаевают не только лазание по сети, или по панели управления, там речь идёт и действительно об отключении команды "выполнить", убирания "диспетчера задач", в конце коцнов убирается "командная строка" и любой вариант редактирования, затем нужно выйти из админской учетки, залезть в скрытые файлы (которые по сути по политикам пользователей тоже ограничивают - это уже прокол варианта как такового,) скопировать оснастку в другое место, затем войти в админской учетке в оснастку (а вот тут пожалуйста, можно дать нормальный ответ - как это сделать, если при ограничении прав мы убрали даже командную строку? где мы будем запускать команду gpedit.msc ?? ) - сделать отмену всех ограничений, скопировать назад файл оснастки на прежнее место, заменив последний, и таким образом обойти разграничения для всех, а не только для одного, но как быть с теми затырками, что я привёл выше? неужели никого это не смутило, или все просто ограничивали права только поверхностно?

и есть ли возможно действительно убрать доступ к рабочей группе? т.е. чтобы он не мог заходить к другим пользователям по сети? конечно можно в политиках убрать сетевые подключения, сетевое окружения, но достаточно вбить в строку в проводнике ИП адрес другого компа, как он на него зайдёт!

Химия_и_жисть 24-07-2013 10:48 2189653
кстати сейчас оснастка почему то сама вернулась в дефолт, т.е. ограничей снова нет...вообще какой-то идиотизм в этой ХР

может есть программа которая под админом вырежет пользователю возможность шастать по локальной сети? (инет оставить при этом) конкретно для одного компа

Ripping Corpse 24-07-2013 21:07 2190021
Химия_и_жисть

А зачем, если не секрет, необходимо запретить пользователю видеть компьютеры в группе? Просто закрыть доступ к ним мало?

Химия_и_жисть 25-07-2013 21:24 2190733
Ripping Corpse,

ну по сути, чтобы он не мог зайти ни на один комп в группе на их расшаренные папки...по моему проще запретить выход именно в группу

WindowsNT 26-07-2013 13:03 2191042
Вообще нет. Имеет ли доступ некий пользователь (человек) к определённым ресурсам, определяет владелец ресурса.

Иными словами, это вы на тех конкретных шарингах должны побеспокоиться, чтобы к ним могли подключаться строго определённые группы. На конкретных целевых машинах.

Химия_и_жисть 26-07-2013 14:13 2191092
WindowsNT,

т.е. возможности запретить именно конкретной машине выходить в сеть нельзя?
если честно - это странно, если нет такой возможности..обычная локалка, машин 30 примерно, но домена к сожалению нет, и сервака нет под него (и не предвидится), неужели я не могу ему просто отрубить сеть при помощи редактирования групповых политик, при этом не затрагивая админскую учетку (доп. вопросы по этому я описывал выше)

WindowsNT 26-07-2013 14:27 2191100
Машине - можно. Отключите компонент Client for Microsoft Networks, вуаля. Но вы же просили пользователю, а это другое.
И вы должны считаться с рисками, что человек подключит в сеть свой мобильный компьютер и откроет ресурсы с него. Тогда вы поймёте, что ограничивать доступ нужно на уровне собственно шарингов + NTFS, при этом не раздаривая учётные записи направо и налево, а ограничения вашей конкретной машины не стоят и выеденного яйца.

Химия_и_жисть 26-07-2013 15:04 2191114
WindowsNT,

а будет ли возможность выхода в инет с данной машины тогда?

Цитата:
Цитата WindowsNT
а ограничения вашей конкретной машины не стоят и выеденного яйца. »

суть задачи именно такова, а на счет рисков мобильных компов, и т.п. - знаем, но попробуй убеди руководство, что им это надо, а тем более столько потратить)

WindowsNT 26-07-2013 16:02 2191148
За интернеты отвечает скорее компонент IP Protocol; задача Client for Microsoft Network — только пользоваться шарингами.
Настроить разрешения на шаринги и создать учётные записи стоит бесплатно, то есть даром.


Время: 15:39.

Время: 15:39.
© OSzone.net 2001-