[sigmatik]

Убрал пользователя из группы локальных администраторов, сейчас он вообще ни в каких группах не состоит, но это не помогло, я залогинился снова но ничего не изменилось, я все также могу устанавливать программы и изменять системные настройки, реестр и т.п.

Команда whoami /all

читать дальше »

C:\Users\user>whoami /all

Сведения о пользователе
----------------

Пользователь SID
============ ==============================================
DOMEN\user S-1-5-21-2983157150-4111312625-4067196217-1119


Сведения о группах
-----------------

Группа Тип SID
Атрибуты
=============================================== ======================= ========
==== =============================================================
Все Хорошо известная группа S-1-1-0
Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32
-544 Группа, используемая только для запрета
BUILTIN\Пользователи удаленного рабочего стола Псевдоним S-1-5-32
-555 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32
-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4
Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15
Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0
Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Метка S-1-16-8
192 Обязательная группа, Включены по умолчанию, Включенная группа


Сведения о привилегиях
----------------------

Имя привилегии Описание Область
, край
============================= ========================================== =======
======
SeShutdownPrivilege Завершение работы системы Отключе
н
SeChangeNotifyPrivilege Обход перекрестной проверки включен

SeUndockPrivilege Отключение компьютера от стыковочного узла Отключе
н
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключе
н
SeTimeZonePrivilege Изменение часового пояса Отключе
н


СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------

Утверждения пользователя неизвестны.

Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.

C:\Users\user>

[Telepuzik]

Цитата sigmatik:

Убрал пользователя из группы локальных администраторов, »

А вывод whoami говорит что пользователь входит в группу локальных Администраторов:

Цитата sigmatik:

BUILTIN\Администраторы Псевдоним S-1-5-32 »

Может у Вас политики настроены которые добавляют пользователей в группу локальных Администраторов??

[sigmatik]

Цитата Telepuzik:

А вывод whoami говорит что пользователь входит в группу локальных Администраторов: »

Все , отбой, вроде разобрался.. Я редактировал членство в группах для пользователя через оснастку "локальные пользователи и группы" ( lusrmgr.msc ), сейчас же изменил уровень доступа в Панель управления\Учетные записи пользователя с администратора на пользователя и все заработало ....

Честно говоря мне не совсем понятна логика всего этого, ну да ладно, главное что проблема решена...

Несколько слов о том как пользователь оказался в группе администраторов: раньше раб.станция не была в домене и пользователь был локальным администратором, после ввода в домен я воспользовался программой ProfWiz , если вкратце - для того чтобы при вводе в домен на компьютере не создавался новый профиль доменного юзера эта программа просто конвертирует старый локальный профиль в профиль доменный, не перемещая никуда файлы пользователя.

Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ?

[snark]

sigmatik, может, настроить политики UAC?

[exo]

Цитата Iska:

Участью прежнего администратора не поинтересовались »

а его даже не было. Им нужен был домен, кто-то им его "настроил". Возможно просто пару раз приехав.
Я пытался узнать кто настраивал, т.к. была только одна идея - но ничего не сказали. Вторая идея - сам директор.
Что забавно, принтер и диски там подключались по логон скрипту. В 2008 R2 ! Дата создания скрипта - 1999 год.
там было много ещё каких "интересностей".

[sigmatik]

Цитата snark:

sigmatik, может, настроить политики UAC? »

что именно вы имели ввиду?

[snark]

Цитата sigmatik:

что именно вы имели ввиду? »

Цитата sigmatik:

Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ? »

При запуске regedit не выводится окно UAC, а сразу появляется редактор реестра? Это и привело меня к мысли, что либо UAC отключен, либо выставлен на "слабые" настройки.
Почему запуск regedit от имени пользователя это "как бы не порядок"? Ведь при настройках по умолчанию пользователь может открыть редактор и производить запись в ветку HKCU.
Или ваша цель — закрыть доступ к редактированию реестра?

[sigmatik]

Цитата snark:

акрыть доступ к редактированию реестра? »

Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется?

[Telepuzik]

Цитата sigmatik:

Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется? »

Для запрета доступа к редактору реестра можете воспользоваться групповой политикой:Управление групповой политикой->Конфигурация пользователя->Административные шаблоны->Система->Запретить доступ к средствам редактирования реестра==Включено.

[WindowsNT]

Dear sigmatik,
Судить о правильности/неправильности следует, лишь изучив вопросы безопасности и работоспособности системы. Систему Windows проектировали умные люди, и они лучше нашего с вами знают, кому что менять в реестре можно, а кому — нельзя.

Все ключи реестра имеют свои разрешения (Permissions) аналогично разрешениям NTFS. То, что вы делаете, запрещая редактор реестра — не более, чем фикция. Командой REG /? я могу сделать гораздо больше, чем редактором.

Основополагающее в безопасности реестра — членство в группах безопасности. Если не заниматься самоубийством, выдавая пользователям права Администратора, никто ничего в реестре не сломает.

Отключение UAC эту ситуацию даже улучшает, ибо UAC занимается эмуляцией системного реестра для пользователя, тем самым разрешая пользователю якобы писать в системный реестр. По сути, это может разрешить вирусу "прописаться" в эмулируемом реестре. Не для всех, но для конкретного пользователя.