[ColdZero]

В ключи ее еще в группу "Пользователи".

Цитата:

в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему".

Мне кажется, что эти политики дадут только доступ на вход на комп и более ничего.
А надо еще дать доступ на использование. Группа "Пользователи" дает ограниченный доступ использования компа.
Поправьте, если ошибаюсь.

[ShaddyR]

Gerdewski: в форуме подымался подобный вопрос, в нескольких местах. Используй поиск перед тем, как задать вопрос.
ColdZero: вероятно, здесь нужны не все возможности группы Пользователи, а какая-то из них. Другими словами, группа должна быть дочерней от Пользователи, с обрезанными фунциями. Я задавал подобный вопрос, но, к сожалению, ответа получить пока не смог.

[SkyF]

Gerdewski

Цитата:

Что я сделал: - создал новую группу (например newusera); - завел пользователя и поместил его в эту группу; - в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему"

Что-то я не вижу тут пункта Удалил учетную запись пользователя из стандартной группы Пользователи (Users)

Это отчего вы упустили из виду?
я совсем не понимаю цели всех пунктов что вы выполняли?
Зачем новую группу создаете? Доступ к какому-то ресуру хотите определять через новую группу?

Сначала вы содаете новую локальную учетную запись - она автоматически становится членом группы локальных пользователей и УЖЕ получает права регистрироваться на консоли и использовать системные ресурсы и дополнительные приложения. Далее создавайте новую группу, включайте пользователя в нее и на эту группу определяйте разрешения (доступ или отказ) на ваш ресурс (принтер, каталог, файл и тп)

[ShaddyR]

SkyF: вероятно, этот пункт опущен, хотя и выполнен, поскольку

Цитата:

Если включу этого пользователя в группу USER , то все происходит нормально.

вот тема, в которой были заданы подобные вопросы, в т.ч. и мною. Там же, SkyF, есть вариант ответа на Ваш вопрос

Цитата:

Зачем новую группу создаете?

[SkyF]

ShaddyR спросил ранее:

Цитата:

Вопрос такой: можно ли создать дочернюю группу на основании имеющейся, с урезанными правами? Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы. Вообще - можно ли и как манагерить подобные вещи? ЗЫ: ОС - Win2003SP1, терминальный сервер, домена нет. Есть ветки с аналогичными вопросом, можно объединить. http://forum.oszone.ru/showthread.php?t=45105 http://forum.oszone.ru/showthread.php?t=47156 http://forum.oszone.ru/showthread.php?t=3927 В последней есть немного информации, но в большинстве своем относящейся к управлению доменом.

Посмотрим что можно использовать.
варианта вижу 2:
- урезать права Опытным пользователям
- добавить прав Простым пользователям

Где добавляются или урезаются права? - Правильно в Политике безопасности и в разрешениях безопасности объектов.

Для локальной ОС можно использовать gpedit.msc и задать параметры прав там (Computer settings - windows settings - security settings).
кроме того для расширения возможностей группы Пользователи можно использовать применения шаблона бузопасноти compatws.INF (с шаблонами можно работать через оснастки MMC.exe - Security Templates + Secutity Conf and Analisys). - этот шаблон изменяет списки безопасности реестра и системных каталогов, позволяя работать с ПО требующим изменения в системных объектах.
Очевидно можно создать свой шаблон (вроде restrict.inf) - который будет ноборот, ограничивать списки безопасноти для Опытных пользователей, запрещая им вносить изменения в определенные системные объекты (каталоги и реестр).

ну вот примерно так.
ЗЫ Перед играми с безопаснотью - не забывайте делать резервные копии системного раздела и состояния системы

[ShaddyR]

SkyF: спасибо, Владимир. Но, поскольку я, похоже, теряю несколько само собой разумеющихся цепочек, то - можно мне вкратце подробную мануалку по моему вопросу ("Пример:")? (глядишь, Gerdewski она тоже пригодится..)

[SkyF]

Цитата:

Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.

1. Включить пользователей в группу Опытных пользователей.
2. Изменить списки безопасности системных каталогов (Program Files, Windows, Windows\System32 к примеру) - запретив группе Опытных пользователей изменять содержимое
3. Изменить списки безопасности системных веток реестра (HKLM\Software, к примеру) - запретив группе Опытных пользователей изменять содержимое
4. При этом удобнее создать шаблон безопасности для выполнения предыдущих пунктов и потом применить его (Как пример можно посмотреть как тоже самое делается в шаблоне compatws.inf)
5. Наибольшую проблему при создании таких ограничивающих настроек -является поиск системных объектов: каталогов и веток которым нужно изменять списки доступа. можно попробовать использовать утилиты с сайта sysinternals.com - filemon и regmon - которые позволяют протоколировать активноссть при выполнении како-го либо действия - куда и что заносится.

[ShaddyR]

SkyF: ясно, идею понял. Но вопрос и у меня и у Gerdewski был о том, как

Цитата:

создать новую группу

... возиться с раскидыванием прав на каждый объект прямо скажем неудобно... нюансов много, то же закрытие папки Progra~1, реестра приведет к ругательствам со стороны многих программ... Кроме того, я привел только одно из возможных ограничений... если нужно еще что-либо, то легче забыть про это все.
Неужто других вариантов нет в принципе?

[SkyF]

так запрещать, разрешать доступ можно не стандартным группам, а НОВОЙ, чтобы потом можно было стандартные использовать по стандартному.
хорошее замечание - сейчас поправлю еще пункты предыдущие.

Иных методов настроить то - незнаю пока что - не вижу.
Microsoft позволяет более менее крутить права через политику безопасноти, но там только ограниченный набор и он не может устроить всех (в частности пункта о разр/запр уст программ - нет)