[решено] AD - Опытные пользователи и Администраторы
 

Вопрос наверное, для многих простейший, но я не могу понять, как это решается.
Суть: необходимо всем пользователям запретить редактировать вкладку подключения в IE. Делаю в gpedit но при этом, у администратора на сервере то же самое происходит. Все пользователи в Группе опытные( restricted groups > Power users)

Как правильно сделать?

Настроить через доменную политику запрет к вкладкам для пользователей. (создав новую политику применяемую только для них). Если настройки сделаны локально можно наоборот создать политику которая применяется только к администраторам с разрешением данных вкладок.

А можно по подробнее, я сам програмер, ИО сисадмина...

Тогда подробней раскажите, как структурно расположены пользователи в домене, в стандартной папке users или, в специальном контейнере. Каким образом у вас применяется политика для пользователей и компьютеров через локальные настройки или через доменную политику?

Пользователи в отдельном контейнере. После чего я через restricted groups(Группы с ограниченным использованием) добавил всех пользователей в Опытные пользователи.

Создаете группу в которую включаете всех администраторов (я же правильно понял, что используется не встроенная запись). Создаете политику, привязанную к контейнеру с пользователями, в свойствах которой, в разделе безопасность, указываете, что она применяется только для созданной группы администраторов.
В порядке применения групп (свойства контейнера) ставите ей более высокий приоритет (поднимаете вверх)
Далее в общей политике контейнера для всех пользователей запрещаете вкладки, а в политики для администраторов разрешаете вкладки.

Спасибо, попробую.

Как удалить скрытых встроенных администраторов и самому остаться админом на своем компе??? У меня Windows XP SP3 и я пользователь с правами Админа. ctrl+alt+del у меня вообще не срабатывает; ограничивала права администраторам (только чтение)- сама при этом себя ограничила так как вхожу в эту группу так-же, но знаю что решение есть, только знаний у меня не хватает. Помогите решить проблему??? :sorry: :help: :help:

Сильно... Пуск -> Выполнить -> lusrmgr.msc -> OK.

Хотя с такими знаниями:
не рискнул бы.

Angry Demon -огромное Вам спасибо, но уж сильно достали они меня; если что-то не так сделаю переустановлю ОС и снова приду к Вам за помощью. Не могли бы Вы мне датьссылку на материалы где более подробно описано или того что Вы написали достаточно? :dont-know :bow:

Сомневаюсь... Тем более, что встроенного Администратора удалить невозможно. Её можно переименовать, например.

Angry Demon Вы мне ничем не помогли, к сожалению. Я свою проблему решила сама. ВО-ПЕРВЫХ: "Если у вас в системе прописаны пользователи, которых вы не хотите видеть в окне Приветствие, можно сделать следующее...
В реестре, по адресу HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\SpecialAcconts\\User List
лежит список пользователей. Каждый пользователь здесь как параметр
DWORD. Если пользователя нету в этом списке или параметр для него равен 0, тогда пользователь буден виден в окне Приветствия. Если параметр равен 0x10000 (65536) то пользователя в окне приветствия видно не будет, но он может логиниться в систему удаленно, через сеть."
ВО-вторых: " Компьютер под управлением Windows XP необходимо сконфигурировать таким
образом, чтобы предотвратить доступ анонимно регистрирующихся пользователей ко
всем ресурсам. Это можно сделать в ветке
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa] поменяв параметр "
restrictanonymous"=dword:00000000 на 00000001."
В ТРЕТЬИХ: "Для отображения закладки "Security/Безопасность" в свойствах папки нужно снять галочку "Использовать простой общий доступ" ("Панель управления"\"Свойства папки" на закладке "Вид") - действует на текущего пользователя.
Чтобы запретить пользователям создавать файлы и папки на диске необходимо в свойствах диска, на закладке "Безопасность" удалить группу "Все", т.к. по умолчанию она имеет право на создание Файлов и папок в корне диска C:\ и проверить разрешения для группы "Пользователи", также лучше удалить "СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ", т.к. это дает полные права (чтение/запись/удаление) пользователю создавшему папку (Владельцу) не зависимо от группы."
В-ЧЕТВЕРТЫХ : Я залогинилась Администратором. С такой помощью как Ваша - лучше вообще не отвечать. :angry2:

А кто спрашивал про окно приветствия?
Не нужно путать тёплое с мягким!

С такой постановкой вопроса и претензиями - лучше сразу к психоаналитику. :)

glizinia,
С таким описанием проблем, как у Вас, лучше вообще не спрашивать.

Angry Demon , monkkey - Уважаемые модераторы! Я понимаю, что Хозяин- Барин, но также тоже нельзя, вам можно иронизировать, отсылать к психоаналитику и все за то, что человек попросил помощи- не все же такие продвинутые, но у людей есть желание учиться и разобраться с проблемами. если не сильно рассердились, то подскажите как переименовать админа встроенного??? У меня улетает трафик ( несанкционированное подключение) потому-что стоит сборка (я в реестре удалила ветку Терминал, отключила Создателя-разрешения запретила все; анонимных и всех гостей удалила и отключила, пользователи имеют разрешения ограниченные-читать; а вот с админами не знаю!!!!) , или подскажите где можно скачать чистый дистрибутив Винды ХР. :flag:

Попросил-то попросил, а потом начал обвинять в том, что не ответили на незаданный вопрос. ;)

Пуск -> Выполнить -> lusrmgr.msc -> OK, Пользователи, выбираем нужного, правой мышой -> Переименовать.

Боже... Только не приписывайте эти действия результатам наших советов...

Это противоречит политике форума. ОПК 3.18. Яндекс в помощь.

Angry Demon - спасибо что не сердитесь, спасибо за помощь. :bow: :bow: