Архив форумов ЦИТФорума

[Andrey D]

Собственно хочу узнать возможно ли это.
Нужно фактически перекрыть доступ MS Word и MS Exel ко всем дискам и папкам кроме "моих документов", и чтобы остальные программы диски видели... OS - Windows 2000

[ALEX_SE]

Если ты имеешь ввиду что ты не хочешь например иметь возможность сохранять вордовые документы в определенных папках, а хочешь иметь возможность сохранять в эти же папки файлы например accessa то не получится. Ведь доступ дается для конкретных пользователей! И при попытке сохранить куда-то документ проверяется может ли пользователь запустивший прогу это сделать или нет. Как выход (хотя и хилый) можно разные проги запускать от имени разных пользователей, но это легко исправимо...

[TepKuH]

"Как закрыть доступ к папке"
легко делается путем конвертации файловой системы в ntfs

"и чтобы остальные программы диски видели"
А вот тут ИМХО невозможно.
Если только защита на дурака, различными твикирами пошаманить

[Andrey D]

Дык шаманю уже пол-недели. Наашаманил пока вот что: скрыл все диски, убрал лишние ярлыки, типа мой компьютер и т.д. В проводнике, с помощью параметра в реестре NoRun = 1, из адресной строки теперь если набираешь е:\ например винь говорит мол нет доступа, а если через ярлык обратиться все ок. В общем тип-топ... Только Ворд и остался - там в имени файла набираешь е:\ к примеру и он этот е:\ и показывает, гад. А вот если бы он ругался бы что нет доступа - это было бы отлично. (((

[4u3u]

Можно попробовать так:
1) Создаешь пользователя, настраиваешь для него доступ к папкам как тебе надо.
2) Для экзкшников ворда и экселя ставишь доступ только этому пользователю (ну еще системе)
3) для запуска ворда и экселя используешь shortcuts с командой типа
"runas /user: "

В результате имеем: Ворд и эксель можно запустить только под пользователем, имеющим нужные тебе права на доступ к папкам.

Может и не выйдет, но это единственное, что приходит в голову.

[TepKuH]

Тебе всякие контекстные менюшки убрать надо и пр., пр., пр., но дырки все равно останутся.
мне каца есть маза надежнеее:
Конвертиш все в ntfs и на все папки ставиш read-only кроме "моих документов" ну и своп сунь в мои документы, можеш даже дисковые квоты наложить на "моих документов" и никто нихрена неубет и не запишет в запрещенные папки.

[4u3u]

"runas /user:<domain\user_name> <command>"

[Andrey D]

NTFS и так стоит. А доступ нельзя ограничивать - там другие прогаммы работают с сетевыми дисками. Просто из под них ничего не напортишь, а из ворда удалять можно. В твикерах нет ни фига, вот сижу в реестре копаюсь.

[TepKuH]

"NTFS и так стоит"
Это хорошо
"А доступ нельзя ограничивать - там другие прогаммы работают с сетевыми дисками"
У файловой системы NTFS есть такая штука как ограничить доступ на папки/файлы на уровне файловой системы.
Т.е. ты можеш ограничить доступ определенным ползователям на определенные папки/файлы. И ни из под какого ворда, экселя, и прочего ничего зделать нельзя будет.
Так же в винде2000(как и в любой более мение нормальной ОСи) есть такая возможность как "запустить программу от имени др. пользователя" т.е. ворд, ексел и пр. буду запускатся от имени того пользователя который вошел в систему, а другим прогам например FAR'у зделать такую штуку что он как-буто запускается от лица "администратора" который в свою очередь может уколбасит хоть весь винт в ноль.

[Dmitry.Karpov http://prof]

В Unix есть chroot - после его применения программа (точнее, процесс) и ее потомки (запущенные из нее программы) не может обратиться выше отведенного ей каталога (он становится ее корневым). Только беда в том, что Word держит кучу своих файлов в ProgramFiles, и после chroot досткп туда возможен только через жесткие (не символьные) линки...

Еще в Unix есть атрибут SetUID, который заставляет программу запускаться под правами ее хозяина, а не запустившего ее юзера; достаточно запретить хозяину программы доступ всюду, кроме МоихДокументов. Но тогда кто бы ни запустил эту программу, она будет выполняться с одними и теми же правами...

[Buka_Boy]

[TepKuH]

Сервайсы запускаютсмя не вопрос(правой кнопкой по сервайсу и... не вопрос)
В шадюленге тоже не вопрос.
Как запускать по клику точно не знаю(особо не надо было), а примерно это из командной строки командой runas /?
Т.е. делаем ярлык на батник(ИМХО удобнее всего использовать)... а дальше по ситуации

ЗЫ. Это ответил 4u3u чуть ниже