Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Как грамотно создать новую группу пользователей с особыми правами в системе? (http://forum.oszone.net/showthread.php?t=51704)

Gerdewski 15-07-2005 13:54 341198
[решено] Как грамотно создать новую группу пользователей с особыми правами в системе?
 
Никогда не думал, что создать новую группу пользователей на W2000 Server у меня вызовет проблему.
Что я сделал:
- создал новую группу (например newusera);
- завел пользователя и поместил его в эту группу;
- в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему".

Теперь если вхожу в систему под именем нового пользователя, то получаю предупреждение: Can't access this folder. Path is too long.
Нажимаю OK и получаю рабочий стол, на котором нет ничего, что касается All user, а также корзины и моих документов.
Если включу этого пользователя в группу USER , то все происходит нормально. Сервер у меня - не контроллер домена.
Что еще нужно сделать?
Кто что знает? Подскажите пож.

ColdZero 15-07-2005 14:01 341200
В ключи ее еще в группу "Пользователи".
Цитата:
в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему".
Мне кажется, что эти политики дадут только доступ на вход на комп и более ничего.
А надо еще дать доступ на использование. Группа "Пользователи" дает ограниченный доступ использования компа.
Поправьте, если ошибаюсь.

ShaddyR 15-07-2005 14:32 341221
Gerdewski: в форуме подымался подобный вопрос, в нескольких местах. Используй поиск перед тем, как задать вопрос.
ColdZero: вероятно, здесь нужны не все возможности группы Пользователи, а какая-то из них. Другими словами, группа должна быть дочерней от Пользователи, с обрезанными фунциями. Я задавал подобный вопрос, но, к сожалению, ответа получить пока не смог.

SkyF 16-07-2005 15:54 341461
Gerdewski
Цитата:
Что я сделал:
- создал новую группу (например newusera);
- завел пользователя и поместил его в эту группу;
- в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему"
Что-то я не вижу тут пункта Удалил учетную запись пользователя из стандартной группы Пользователи (Users)

Это отчего вы упустили из виду?
я совсем не понимаю цели всех пунктов что вы выполняли?
Зачем новую группу создаете? Доступ к какому-то ресуру хотите определять через новую группу?

Сначала вы содаете новую локальную учетную запись - она автоматически становится членом группы локальных пользователей и УЖЕ получает права регистрироваться на консоли и использовать системные ресурсы и дополнительные приложения. Далее создавайте новую группу, включайте пользователя в нее и на эту группу определяйте разрешения (доступ или отказ) на ваш ресурс (принтер, каталог, файл и тп)

ShaddyR 16-07-2005 16:10 341465
SkyF: вероятно, этот пункт опущен, хотя и выполнен, поскольку
Цитата:
Если включу этого пользователя в группу USER , то все происходит нормально.
вот тема, в которой были заданы подобные вопросы, в т.ч. и мною. Там же, SkyF, есть вариант ответа на Ваш вопрос
Цитата:
Зачем новую группу создаете?

SkyF 16-07-2005 16:41 341479
ShaddyR спросил ранее:

Цитата:
Вопрос такой: можно ли создать дочернюю группу на основании имеющейся, с урезанными правами?
Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.
Вообще - можно ли и как манагерить подобные вещи?
ЗЫ: ОС - Win2003SP1, терминальный сервер, домена нет.

Есть ветки с аналогичными вопросом, можно объединить.
http://forum.oszone.ru/showthread.php?t=45105
http://forum.oszone.ru/showthread.php?t=47156
http://forum.oszone.ru/showthread.php?t=3927


В последней есть немного информации, но в большинстве своем относящейся к управлению доменом.
Посмотрим что можно использовать.
варианта вижу 2:
- урезать права Опытным пользователям
- добавить прав Простым пользователям

Где добавляются или урезаются права? - Правильно в Политике безопасности и в разрешениях безопасности объектов.

Для локальной ОС можно использовать gpedit.msc и задать параметры прав там (Computer settings - windows settings - security settings).
кроме того для расширения возможностей группы Пользователи можно использовать применения шаблона бузопасноти compatws.INF (с шаблонами можно работать через оснастки MMC.exe - Security Templates + Secutity Conf and Analisys). - этот шаблон изменяет списки безопасности реестра и системных каталогов, позволяя работать с ПО требующим изменения в системных объектах.
Очевидно можно создать свой шаблон (вроде restrict.inf) - который будет ноборот, ограничивать списки безопасноти для Опытных пользователей, запрещая им вносить изменения в определенные системные объекты (каталоги и реестр).

ну вот примерно так.
ЗЫ Перед играми с безопаснотью - не забывайте делать резервные копии системного раздела и состояния системы

ShaddyR 16-07-2005 17:57 341496
SkyF: спасибо, Владимир. Но, поскольку я, похоже, теряю несколько само собой разумеющихся цепочек, то - можно мне вкратце подробную мануалку по моему вопросу ("Пример:")? (глядишь, Gerdewski она тоже пригодится..)

SkyF 17-07-2005 18:36 341738
Цитата:
Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.
  1. Включить пользователей в группу Опытных пользователей.
  2. Изменить списки безопасности системных каталогов (Program Files, Windows, Windows\System32 к примеру) - запретив группе Опытных пользователей изменять содержимое
  3. Изменить списки безопасности системных веток реестра (HKLM\Software, к примеру) - запретив группе Опытных пользователей изменять содержимое
  4. При этом удобнее создать шаблон безопасности для выполнения предыдущих пунктов и потом применить его (Как пример можно посмотреть как тоже самое делается в шаблоне compatws.inf)
  5. Наибольшую проблему при создании таких ограничивающих настроек -является поиск системных объектов: каталогов и веток которым нужно изменять списки доступа. можно попробовать использовать утилиты с сайта sysinternals.com - filemon и regmon - которые позволяют протоколировать активноссть при выполнении како-го либо действия - куда и что заносится.

ShaddyR 18-07-2005 11:14 341855
SkyF: ясно, идею понял. Но вопрос и у меня и у Gerdewski был о том, как
Цитата:
создать новую группу
... возиться с раскидыванием прав на каждый объект прямо скажем неудобно... нюансов много, то же закрытие папки Progra~1, реестра приведет к ругательствам со стороны многих программ... Кроме того, я привел только одно из возможных ограничений... если нужно еще что-либо, то легче забыть про это все.
Неужто других вариантов нет в принципе?

SkyF 18-07-2005 12:52 341888
так запрещать, разрешать доступ можно не стандартным группам, а НОВОЙ, чтобы потом можно было стандартные использовать по стандартному.
хорошее замечание - сейчас поправлю еще пункты предыдущие.

Иных методов настроить то - незнаю пока что - не вижу.
Microsoft позволяет более менее крутить права через политику безопасноти, но там только ограниченный набор и он не может устроить всех (в частности пункта о разр/запр уст программ - нет)

ShaddyR 18-07-2005 14:05 341916
SkyF
Цитата:
через политику безопасноти, но там только ограниченный набор и он не может устроить всех (в частности пункта о разр/запр уст программ - нет)
в том то и проблема((
Но, в любом случае, спасибо за помощь.


Время: 13:30.

Время: 13:30.
© OSzone.net 2001-