Как грамотно разграничить права на ПО и диски?
 

У меня такая вот ситуация. Создаю нового пользователя. Данный пользователь может свободно лазить везде, где ему вздумается. Никаких особо ограничений я не заметил. Почему так? Ведь у него должны быть свои документы, как я понимаю. Но ни в коем случает ни доступ ко всем разделам и ко всем папкам. Неужели по дефолту в Win 2008 R2 нет никакой защиты?
Программы тоже запускаются любые.. Только, разумеется, настройки свои. Но, опять же,это не есть разумный подход, чтоб все пользователи могли всё запускать...
Как подобные вопросы решаются?

выведением пользователя из администраторской группы в ограниченную

Так пользователей других там нет, кроме как 2 админов:

И кто из них есть:
?

т.е. словосочетание
требует перевода на русский язык? :) Перевожу: удали пользователя, о котором ты говоришь, из группы Администраторы и добавь в любую другую, согласно твоему пониманию необходимости его ограничить.

Я же написал по-русски, что в группе Администраторы только 2 админа. Им права ограничивать не нужно. А нужно ограничить права остальных 26 пользователей, которые не входят в группу Администраторы... Как ещё объяснить?
Например, вот один из других пользователей, которому нужно ограничить права:




Как видно, этот пользователь далеко не админ и не входит в группу Администраторы, но можешь спокойно шерстить по всем дискам и папкам и запускать всё что захочет.
Как это изменить?

hozman, покажите, пожалуйста (скриншотом), кто входит в группу Администраторы.

И посмотрите в Локальных Политиках, не изменены ли там права для для группы Пользователи и для группы Все, и не внесена ли какая-либо из этих групп "для упрощения работы" в те разрешающие Политики, в которые её пускать нельзя было (можете сравнить Политики с нормально работающим сервером; если такого не найдёте ни в заслуживающих доверия источниках в интернете (перечень прав в Политиках по умолчанию), ни у знакомых (на живом сервере) -- может кто-нибудь здесь кинет список правильных прав из Локальных политик.

PS
Заодно приведите на всякий случай скриншот закладки "Безопасность" в свойствах каталога хотя бы Windows на этом сервере.

И взгляните вариант запроса на Яндексе: как восстановить политику безопасности Windows 2008

полностью... полностью надо объяснять. Возможно, у меня зрение слабое, но мозилла не даст соврать - цифра "26" в первом сообщении не фигурирует.
>
Руками установить права доступа на папки. Для "запускать" - конкретной учетке можно указать, что разрешено к запуску и откуда. Из прав папок убери упоминания ВСЕ и ПОЛЬЗОВАТЕЛИ, оставь АДМИНИСТРАТОРЫ - на этом праздное шатание закончится. Затем раздавай права на перекрестные объекты, к которым нужен доступ с нескольких УЗ.

Назовите КОНКРЕТНЫЕ папки и КОНКРЕТНЫЕ действия пользователей, которые разрешены, но вам не нравятся.
Продемонстрируйте суть проблемы снимками экрана.

В общем-то, по какой-то причине судя из скриншота:



В закладке Безопасность папки Windows были разрешения для группы Пользователи на чтение, список содержимого папки и чтение и выполнение. Хотя я не добавлял данной группе сответствующие права. По умолчанию в Windows 2008 R2 получается разрешено любому пользователю просматривать любые папки и запускать все программы?

Я так понимаю оставить нужно не только группу Администраторы, но и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, СИСТЕМА, так? Ведь это системные группы.
А группа TrustedInstaller нужна для кого? Это системная группа? Зайдя в Управление компьютером-Локальные пользователи-группы, я не нашёл данную группу...

Пользователи должны иметь разрешения Чтения и Запуска программ из системного каталога. This is by design.
К разрешениям папок C:\Users, C:\Program Files и C:\Windows не прикасайтесь.

Стандартные разрешения.
"Доверенный установщик". Системная запись, связанная с установкой некоторых программ и обновлений (да и самой Windows).
Я ж не говорил гадать, а говорил сравнить. ;)
А на другие (действительно мои) вопросы ответа я не увидел.

Я бы сказал, что по крайней мере без консультации и подтверждения минимум парой авторитетных участников.
Поскольку пока неизвестно, ЧТО сделал бывший админ, и из-за чего пользователи могут лазить по папкам как друг друга, так и администраторов.

hozman
С папкой Windows уже разобрались: там действительно что-либо трогать нельзя.

Поправил!

Так странно, что стандартные разрешения - это всё видеть всем... Это типа правильно?

Сравнить не с чем. У меня один сервер на 2088 R2. Второй не поднял ещё. Остальные машины, которые имеются в досягаемость на Win 2003.

Другой вопросы был касаемо Локальных групповых политик. Вот скрин:



Групповые политики я привёл. Причины почему на некоторые каталоги, например, Windows, Program Files (x86), Program Files ... стандартным разрешением является правило на чтение и запись для всех пользователей не понятно вообще. Ведь, как я понимаю, эти каталоги системные, и, в первую используются системой, например, каталог Windows.

Вы видать разобрались, а я не особо логику понял. Почему ВСЕ должны видеть системные файлы операционной системы? Зачем это ВCЕМ?

затем, что систему сложно убедить в том, что "запускать все необходимое, неизвестное заранее" и "не видеть это ГЛАЗАМИ" - разные вещи.

если некорректность предполагается в неверном понимании того, что я говорил обо ВСЕХ папках компьютера - тогда ДА, некорректно. Я озвучивал действия, связанные с пользовательскими папками, созданными для хранения\обмена данными. Больше того, пользовательский профиль каждой УЗ имеет по-умолчанию как раз такую настройку - СИСТЕМА+ИМЯ_ПОЛЬЗОВАТЕЛЯ+ВСЕ_АДМИНИСТРАТОРЫ. В чем некорректность?

Получается что неправильно понял (по моемУ мнению, исходная формулировка не совсем точна и допускает расширенное толкование -- откуда моя фраза и возникла), извиняюсь... :sorry:
А просьбу уже удалил ещё не дочитав до вашей реплики. :)

hozman, в Политиках ничего лишнего не вижу.

На папку же USERS как раз должны быть разрешения для всех пользователей: ведь все учётные записи лежат внутри этой папки.
А вот на папки конкретных учётных записей (на профили пользователей) -- тут строго как и сказал ShaddyR: "Система + Данный_пользователь + Администраторы (== группа администраторов)".

И если один из пользователей не-администраторов может лазить по папкам других, и тем более по папкам администраторов -- то это может означать или что на профили пользователей даны неверные права, или что группа Администраторов включает в себя явно или косвенно (с наследованием от других групп) всех пользователей. Но поскольку вы говорите что в Администраторах у вас только две конкретные учётные записи, и никакие группы не входят -- то остаётся неверная расстановка прав. Чудес же не бывает...

Так что хотелось бы взглянуть на закладку "Безопасность" папки учётной записи хотя бы одного из администраторов, а также папки вновь созданного (хотя бы тестового) пользователя без административных прав.

PS
И просьбочка: если не получается подколоть вложение к ответу, то размещать по возможности на серверах, которые не орут со всплывающих окон флэшей (при попытке закрытия у меня аж вылетел плагин флэш-плеера) и не дают по нескольку других всплывающих окон когда пытаешься добраться до нормального разрешения скриншота.

По сути, вот возьмём мой D диск:



Видно, что папка Книги вообще не открыта для общего доступа по сети. А значится, папка должна быть доступна только по RDP, по сути.
Идём дальше... Открываю, Свойства-Безопасность и вижу вот что там имеется группа пользователи, которая по какой-то причине там по умолчанию! Я их туда не добавлял точно:



Решил я группу Пользователи удалить... Нажимаю удалить и вижу ругань системы следующего вида:



В чём причина? Администратор не может удалить пользователя или группу пользователей из доступа к папке... По-моему это уже чересчур.

По сути — не совсем верно. Если машина в домене, и не отключено автоматическое создание административных ресурсов, она будет доступна и по «\\Server\d$\Книги».

Вы не добавляли. Они там есть по умолчанию. С правами листинг, чтение и выполнение.

Причина в том, что разрешения для этого каталога наследуются от родительского. Снимите волшебный флажок «Наследовать … от родительского объекта … разрешения», выберете «Копировать разрешения», и затем только удалите группу, если так хочется.

P.S. Ровно об этом же написано в сообщении об ошибке удаления.

Все каталоги (папки), создаваемые вручную (или создаваемые установщиками в случае, если у установщик нет других встроенных указаний) по умолчанию наследуют права безопасности от родительского каталога, и вы видите эту галку. Как снять наследование и расставить собственные права -- вам сказано и в сообщении об ошибке и разъяснено Iska. В вашем случае права наследуются от прав на весь диск D: (а какие именно -- можете посмотреть закладку "Безопасность" в его Свойствах).

Ни в коем случае не трогайте права для системных папок, если это не связано с устранением последствий ручного вмешательства для приведения разрешений к таким, какие были по умолчанию. Для папок же, созданных вручную -- поступайте как вам будет угодно, если представляете последствия.
Вариант 1: вы добавляете в права группу "Все" и даёте ей запреты на папку; в этом случае даже администраторы будут ограничены по пунктам запрета, поскольку запрет всегда имеет приоритет над разрешениями, а Администраторы в неявном виде являются членами группы "Все" -- как и любая учётная запись вообще.
Вариант 2: кто-то до вас включил пользователя с административными правами также и в группу "Пользователи" (мне это встречалось); в этом случае установка запретов для группы "Пользователи" приведёт к тому же эффекту для этого пользователя с административными правами.

Если вы создадите папку внутри папки Users, то у этой папки будут все те же права, что и у самой папки Users (можете проверить). В отличие от ситуации, когда папка создаётся здесь системой при создании нового пользователя: если посмотрите, то там этой галки нет, а на иконке самой папки стоит замочек, говорящий о том, что права отличаются от прав родительской папки (но если у пользователя нет разрешений на такую папку -- то замочек он не видит). Сравнить права на папку, созданную здесь вручную, и права на какую-либо из папок профилей пользователей можете сами.

Вполне очевидно, что вы не прочли даже самую первую книгу, самый первый учебный курс администрирования Windows. Не морочьте голову ни себе, ни нам. Пусть настройкой безопасности занимаются компетентные люди.

Умение читать — первое умение Администратора.