[решено] Разграничение политик для пользователей
 

Ребята столкнулся с такой проблемой:
за компом (в игровом салоне) могут работать несколько типов пользователей.
Настройки групповых политик Gpedit распространяются на всех пользователей. Т.е. если я для юзера убираю всякие примочки из Пуска (Run и всякую подобную беду), то они убираются и у Админа.
Подскажите как можно настраивать эти политики непосредственно для любого пользователя, будь то админ или несколько разных юзеров. (конечно не ручками в реестре ключики редактировать :)) )
Заранее благодарен!

Позвольте поднять опять эту старую тему. Так как у меня появился абсолютно такой же интерес, а вот ответом что-то эту тему не жаловали.
Хотя бы, плз, подскажите в каком направлении искать. Справку уже пересмотрел - не нашёл ничего.

Заранее спасибо!

antOOn
Ответы видимо были в других темах :) Вот пример

Я тоже пытался получить ответ на этот вопрос - безрезультатно. А что касается ссылки, указанной выше, дык предложенные там два способа мне ничего не дали - скорее наоборот: чуть не потерял доступ к некоторым папкам :( Еле выкрутился. :weep: Что будем делать? Что пробовать? Есть предложения?

Lomaks
Читать те два способа еще раз... На такой совет наводит

По поводу первого совета. Фигня какая-то - нет у меня вкладки Безопасность. Вроде ХР и NTFS, и вроде была она когда-то, а сейчас какую папку в свойствах не ткну, нет её и всё тут. Может чего-то когда-то отключил где-нибудь. В общем с этим заработал себе ещё один пункт для размышлений.
По поводу ссылки на http://techrepublic.com.com/5100-6270-1040230.html Проверил. Зашибись всё работает. Главное точно следовать шагам, описанным внизу документа. Хотя я и не понимаю, как это работает, и почему заходы туда-сюда и копирование файлов помогает. Но помогает, и то хорошо.
И ещё мысли вслух. Всё-таки довольно странно, что в такой продвинутой по части безопасности ХР, и тем более Win2000, а ведь инструкция именно для неё написана, нет более человеческих средств для настройки пользователей, кроме как какие-то странные ухищрения. Т.е. если ты в домене/сети, то пожалуйста (я так понял, что для сетей там всё хорошо настраивается/разграничивается), а если локальный - то фиг.

Почитал снова. Что касается первого метода, так после выставления разрешений, больше нельзя открыть оснастку Администрирование в Панели управления и консоль GPEdit.msc - вылазит ошибка. А по поводу второго автор пишет:

"5. Open the Group Policy console and remove the restrictions applied in step four"

Вот только "restrictions" были applied in step one, а не "applied in step four"!

Далее:

6. Close the Group Policy console and then copy the backup UserReg.pol file created in step six.

Первое предложение шаге №6, которое говорит о том, что в этом (шестом) шаге уже говорилось о создании файла UserReg.pol - может у меня со зрением что-то? Возможно автор был "навеселе", когда писал этот текст (?)
Подобные "странности" наблюдаются и дальше по тексту. Но из того, что я понял и пытался сделать - результата я не добился. Если Vadikan у тебя что-то получилось, то уж поделись своим опытом, будь добр.

Lomaks
Ну вот тебе исправленный вариант, если станет легче:

1. Log on as Administrator.
2. Go to Start | Run and enter Gpedit.msc in the Open dialog box to start the Group Policy console
3. Open the User Configuration/Administrative Templates branch and change settings as desired to enable restrictions as needed. The settings for each restriction vary.
4. Close the Group Policy console and log off; then log on again as Administrator to apply the change.
5. Log off and log on as another user to verify that the restrictions are applied. Log off and then log on as each of the other users, in turn, to whom you want to apply the restrictions.
6. Log on as Administrator and copy the file %systemroot%\System32\GroupPolicy\User\registry.pol to a backup location and name it UserReg.pol. Copy the file %systemroot%\System32\GroupPolicy\Machine\registry.pol to the same backup location and name it MachineReg.pol.
7. Open the Group Policy console and remove the restrictions applied before. In some cases, you might need to use the opposite setting from the one applied in step three. For example, if you selected Enable to apply a given restriction, choose Disable to remove the restriction, rather than Not Configured (which applies no change to the registry).
8. Close the Group Policy console and then copy the backup UserReg.pol file created in step six back to %systemroot%\System32\GroupPolicy\User\registry.pol, making sure to rename the file Registry.pol. Copy the backup MachineReg.pol created in step six back to %systemroot%\System32\GroupPolicy\Machine\registry.pol, making sure to rename the file Registry.pol.
9. Log off as administrator and log on as one of the restricted users to verify that the restrictions are in place. Log off and then log back on as administrator to verify that the restrictions are not applied to the administrator account. As long as you didn't use your own nonadministrator account to log on in step five, that account will not have the restrictions applied.

Как можно догадаться, файлы не обязательно переименовывать именно в UserReg.pol - достаточно просто сделать копию. Я, например, копировал в ту же папку, просто добавляя расширение *.bak

Чего-то как я посмотрю по этой теме в обеих ветках на Vadikana зачем-то наезжают. Что же за люди-то такие :bad:

Так и должно быть, ведь запрет на запись стоит, а разрешение - только на чтение. Отсюда вывод - надо настроить политики как нужно, а потом уже применять предложенный обходной путь. Он именно обходной, потому что политики применяются ко всем пользователям локальной машины, и гибкость доменных настроек недоступна. Претензии нужно высказывать не мне, а компании Microsoft в данном случае. Опять же, претензии к автору оригинального материала нужно пред'являть. В данном случае, это просто незначительная ошибка, которая не является критической.

Если вы найдете лучший путь и решите потратить время на написание толкового руковдства, то мы с удовольствием разместим его на сайте OSZone.net

antOOnВ Панель управления | Свойства Папки нуижно отключить Use Simple File Sharing (Recommended)

Vadikan
Точно! Блин! А ведь когда-то же знал... Ещё раз thanx :up:

Спасибо antOOn. Может и полегчает, если получится.:)

Между прочим ни каких наездов на Vadikan`а - скорее на автора того английского варианта. Ну...и к Microsoft, конечно!

To Vadikan
То есть два метода нужно использовать в связке? А каждый по отдельности работает или нет? Попробую конечно ещё раз. Только как после запрета изменять или добавлять политики если нельзя открыть соответствующие оснастки?

Неподскажите как здалать так, что бы не настраивать всё это в ручную, на каждой машине...а допустем переписать одним фаилом, чтоб всё было уже сконфигурированно!
Если так можно! Зделать...

3й пост топика
ссылка умерла ((
где еще можно посмотреть инфу?..

SaDem4eg, должно быть вполне достаточно этой информации http://forum.oszone.net/showpost.php?p=399797 - там есть подробная статья на русском языке. Или переходите на Vista - там это проще организовать http://vadikan.spaces.live.com/blog/...BAEE!270.entry

Здравствуйте, уважаемые!
Так же интересуюсь разделением политик (и) на Администраторов и пользователей "фактически" - т.е. "Администратору можно всё, а пользователи ограничены".
Ситуация, и для примера:
Требуеться отключить параметр "Разрешить сторонние расширения для обозревателя" (Гр-ая пол-ка, Конф-ия пол-ля, Адм. шаблоны, Комп. Win., IE, Панель управл.) только у пользователя (ей) и за исключением Администратора (ов).
Т.к. политика действует на все Учётные записи, я не могу отключить у Пользователя (ей) и в тоже время включить у Администратора (ов). По крайней мере не беру в расчёт установку разного рода "скриптов" в автозапуск, что облегчает ручную волокиту с перенастройкой политик (или копирование\замену политик... её файлов).
Ознакомился с разными инструкциями по политикам, данной темой и темой уважаемого Vadikan`а: [решено] Проблемы с настройкой групповой политики в Win XP SP2
Хотел бы уточнить\узнать следующее:
- По 1 варианту предложенному ув. Vadikan`ом, правильно ли я понял порядок действий и суть?
Порядок действий:

Суть: Запретить чтение файла политики Администратором (ами), что бы на них не влиял раздел политики "Конфигурация пользователя", а только лишь "Конфигурация компьютера", т.к. последнюю "обойти" нельзя.
Иная трактовка сути: Система не сможет загрузить настройки (параметры и их значения) для Администратора (ов), т.к. отсутсвует доступ к файлу.
- По 2 варианту, не могу найти "фактическую логику". Т.е. в п. 12 мы возвращаем файл со старыми настройками политики в исходное место, заменяя новый. По логике вещей, политика должна быть той, которую мы вернули. Но тогда к чему эти "танцы с бубном"? Единственное, предполагаю, что в промежутках (танцах с бубном), где-то в системе "осидает" часть настроек (она же разница между Администратором и Пользователем), но это путает и не логично.
- Скажите, пожалуйста, в Win. 7 аналогично выше сказанному "Vista - там это проще организовать..."? Спрашиваю "на перёд", т.к. сейчас с этим не знаком и не требуеться, а на будующее пригодилось бы :)
С уважением и благодарностью.

Вопросы по теме вноса изменений, после использования "разграничений"
По 1-му способу: Если потребуется внести изменения в политику каков порядок действий? Без "чтения" консоль не открывает политику, т.к. не может "считать". Если разрешить, тогда настройки пользователя распространятся на администратора и это может плохо закончится. Быть может используя "secedit" можно внести изменения не производя чтение, т.е. вписать директорию параметра и его значение, но это помнить проблемотично, особенно когда измений давольно много.
По 2-му: Аналогичен, выше заданному, как быть? Перед заменой файла новой версии на старый, сделать его копию на случай этих самых перемен. А как сделал изменения, снова заменить на файл старой версии?