[Fanzuga]

Цитата Geleoss:

1. Как запретить учетным записям админов (кроме встроенного) логиниться (входить локально), но при этом оставить право runas. »

Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.
Удалить группу Администраторы. Не забыть добавить учетку - Администратор.

Цитата Geleoss:

2. Как запретить учетным записям админов (кроме встроенного) менять пользователям права. »

Что именно имеется в виду файловые разрешения, или добавление в группы безопасности? Если втрое то с ходу не нашел такого. ИМХО на 80% решается первой задачей. Т. к. остается только одна учетка для интерактивного входа, а менять разрешения через комстроку, не всякий захочет/сможет.

[Geleoss]

Цитата Fanzuqa:

Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.

Пробовал только через локальную политику (secpol.msc), сейчас попробовал через групповую, результат аналогичен.
Пока пробую работать под админом, а редактировать пользователя.

Код:

C:\Documents and Settings\geleoss>net user geleoss
Имя пользователя                       geleoss
..
Членство в локальных группах           *Администраторы
Членство в глобальных группах          *Отсутствует

C:\Documents and Settings\geleoss>net user geleossadm
Имя пользователя                       geleossadm
..

Членство в локальных группах           *Пользователи
Членство в глобальных группах          *Отсутствует

Код:

C:\Documents and Settings\geleoss>runas /u:geleossadm cmd
Введите пароль для geleossadm:
Попытка запуска cmd от имени пользователя "ORBIT\geleossadm" ...
ОШИБКА RUNAS: Не удается запустить - cmd
1385: Вход в систему не произведен: выбранный режим входа для данного пользовате
ля на этом компьютере не предусмотрен.

Т.е. если группы нет в "Локальном входе в систему", то команду runas выполнить не получаетдописася.

[Geleoss]

Ни у кого новых идей не появилось?

Напомню желаемую конфигурацию Win XP:
Root - аккаунт встроенного администратора, может всё. Локальный вход запрещён (не обязательно), только удаленный. Пароль юзеру не известен.
Admin - аккаунт администратора. Локально входить не может. Разрешен запуск приложений из других аккаунтов.
User - аккант польователя. Может локально входить. Разрешено установка приложений от имени администратора.

Цель: пользователь работает под учеткой пользователя; система защищена от большинства вирусов, прописывающих себя в автозапуск (реестр), возвожность изменить конфигурацию Windows ограничена, т.е. поломать что-то глобально не получиться; если какие-то программы устанавливаться, то только сознательно.

Вопрос: как реализовать запрет локального входа Admin`у, но при этом оставить право User`у устанавливать программы от имени Admin (через runas).