Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
epros Гость
|
Добавлено: Чт Дек 23 2004 09:34 Заголовок сообщения: Растолкуйте чайнику про администрирование WinXP |
|
|
Что-то я по-крупному не могу въехать в принципы субж. Хочу я, скажем, настроить себе доступ ко всем возможным ресурсам по максимуму, а своим домашним - минимально необходимый.
Казалось бы, делаешь всем остальным гостевой доступ, и все. Но нет, по умолчанию там много чего нужного запрещено. Ладно, исходя из принципа минимизации усилий, пробую дать им стандартный пользовательский доступ.
На первый взгляд все стало хорошо: моим общедоступным интернет-подключением они теперь могут пользоваться, а драйвера переставлять или, скажем, выставленную квоту на диске изменить - не могут. Но установка первой же игрушки выявила проблему: дело даже не в том, что им оказалось запрещено ее инсталлировать, я и сам могу ее им поставить, дело в том, что эта игрушка защищает свои авторские права путем каких-то низкоуровневых операций с CD, которые им запрещены. В результате она при запуске требует "поставить законный CD". Включаешь юзера в группу администраторов - можно играть без проблем.
Ладно, давайте пойдем другим путем. Начнем с предоставления по умолчанию административных прав, а потом будем то, что нужно, ограничивать. Но где искать это "что нужно"? Я нашел только два места, где настраивается что-то, похожее на права пользователей - это "Локальная политика безопасности" и "Групповая политика". В локальной политике не удается найти нужных настроек. Скажем, я хочу для начала органичить доступ к самим настройкам доступа. Нечто похожее вижу только в групповой политике. В частности, там в "настройках пользователя/административные шаблоны" есть возможность запретить доступ к контрольной панели. Но запретить КОМУ? Текущему пользователю? На фиг мне это надо, если я вошел под собственным административным эккаунтом? А если я вошел под эккаунтом настраиваемого пользователя, то запретив ему доступ, как я потом смогу это в случае чего поправить, если не знаю, как это делать из эккаунта администратора? |
|
Вернуться к началу |
|
|
4u3u
Зарегистрирован: 24.01.2003 Сообщения: 997 Откуда: Moscow
|
Добавлено: Чт Дек 23 2004 10:57 Заголовок сообщения: |
|
|
Если игра требует для работы административных прав, то это проблема крвейших рук разработчиков, а не операционной стстемы. Я бы рекомендовал обратиться на сайт разработчиков игры и задать им законный вопрос - "Какого х..ра??"
По поводу подходов к ограничению прав, принцип наименьшего доступа - это лучший подход. По поводу же того, как определять, доступа к каким ресурсам программе не хватает для нормальной работы, для этого существуют программы мониторнга доступа к файловой системе и реестру (думаю, для Вас не должно быть секретом, что для элементов реестра существуют такие же списки доступа, как и к файлам и папкам). Наиболее популярные - это filemion и regmon с сайта http://www.sysinternals.com |
|
Вернуться к началу |
|
|
epros Гость
|
Добавлено: Чт Дек 23 2004 12:26 Заголовок сообщения: |
|
|
4u3u писал(а): | Если игра требует для работы административных прав, то это проблема крвейших рук разработчиков, а не операционной стстемы. Я бы рекомендовал обратиться на сайт разработчиков игры и задать им законный вопрос - "Какого х..ра??" |
Согласен, это кривизна игры и надо будет высказать свое неудовольствие разработчикам. Но их тоже можно понять: они, очевидно, продают свою игрушку главным образом домашним юзерам, которые не настраивают различные доступы, а пользуются одним административным эккаунтом, установленным по умолчанию. Поэтому с их стороны экономически нецелесообразно ломать себе голову над тем, как добиться защиты своих авторских прав при ограниченных полномочиях юзера - и только ради того, чтобы удовлетворить таких редких чудаков, как я.
Большинство программ при установке принимают множество решений за пользователя, ничего у него не спрашивая, ибо средний пользователь - чайник, и вопросов не поймет. Например, я что-то не припомню, чтобы меня при установке спрашивали, хочу ли я сделать данную программу доступной только для текущего юзера или для всех. Иногда этого и не нужно. Например, WebMoney Keeper установился у меня таким образом, что стал виден только мне. И мне это нравится - больше никому в нашей семье его видеть и не нужно. А вот игрушки, которые ставит моя дочка, ставятся для всех. А мне это совершенно не нужно - я вовсе не хочу наблюдать на своем эккаунте всякий хлам.
Я бы настроил общедоступный эккаунт так, чтобы все, что на нем устанавливается, работало только на нем, да не умею этого. Так что проблема не в том, что кто-то пишет плохие программы или что система плохая, а в том, что я плохо понимаю, как ее администрировать.
4u3u писал(а): | По поводу подходов к ограничению прав, принцип наименьшего доступа - это лучший подход. |
Я начал именно с этого предположения, установив для домашних гостевой доступ. Увы, это слишком геморройный вариант - я вовсе не хочу, чтобы они бегали ко мне с каждой проблемой, которые у них при этом возникают ежесекундно. Все же есть масса вещей, которые я хотел бы им разрешить, и каждое такое разрешение - проблема. Например, я так и не понял, как разрешить гостю пользоваться настроенным для общего доступа подключением к инету - по умолчанию считается, что гостям таких правов не положено, и все дела, а где это настраивается - хрен знает.
Я бы также не возражал против самостоятельной установки гостями прикладного софта (в пределах выделенной дисковой квоты), при условии, что этот софт не претендует на автозапуск и не вылазит за пределы полномочий эккаунта, на котором поставлен. Но как?
4u3u писал(а): | думаю, для Вас не должно быть секретом, что для элементов реестра существуют такие же списки доступа, как и к файлам и папкам |
Я с реестром стараюсь вести себя осторожно, ибо далеко не все в нем понимаю. В нем ведь нет объяснений типа: Этот раздел нужен для того-то и того-то и отвечает он за то-то. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Дек 23 2004 17:16 Заголовок сообщения: |
|
|
Цитата: | Согласен, это кривизна игры и надо будет высказать свое неудовольствие разработчикам. Но их тоже можно понять: они, очевидно, продают свою игрушку главным образом домашним юзерам, которые не настраивают различные доступы, а пользуются одним административным эккаунтом, установленным по умолчанию. |
Не надо "входить в положение". Надо громко требовать совместимости с ОС, под которую игрушка написана.
Цитата: | WebMoney Keeper установился у меня таким образом |
Видишь! Есть умные программеры на свете.
Цитата: | Например, я что-то не припомню, чтобы меня при установке спрашивали, хочу ли я сделать данную программу доступной только для текущего юзера или для всех. |
Видимо мало ты софта ставил. Мой софт спрашивает это частенько.
Цитата: | А вот игрушки, которые ставит моя дочка, ставятся для всех. |
Это тоже по части кривых рук разработчиков. И элементарно лень прочитать 10-15 страниц рекомендаций от Microsoft и сделать 1 раз по уму. Вы с помощью политики безопасности можете сделать что-то, но не все. А все потому, что софт не умеет работать в среде с ограничениями. Не предполагает он их, считает что можно все. Вот и грабли.
Дабы никуда не бегать ежесекундно определите круг используемого ПО. Установите его. Ограничте права. Протестируйте. Если все работает - ставьте на все компы. Если есть много всякого софта и круг задач не определяется никак, то заведите юзверю папку на сервере, куда ему кидать данные. И сделайте стандартный образ системы. Права админа компа отдайте юзверю, пуст делает чего хочет. Если сломает все, то из образа систему минут за 20-30 подымете, а данные на сервере лежат. Таким образом убивается куча зайцев сразу.
Да, еще. Сразу объясните юзверю, что вы НЕ несете ответственность за данные на сервере. Если он хранит все у себя, то подымать данные вы будете за отдельные бабки (пиво, шоколадки, то, сё...) |
|
Вернуться к началу |
|
|
Sol
Зарегистрирован: 05.12.2003 Сообщения: 427 Откуда: Томск
|
Добавлено: Пт Дек 24 2004 07:44 Заголовок сообщения: |
|
|
Из собственного опыта...
Если имеете дело с домашним компом, то можно установить 2 ОС ..
Одну для работы, а другую для игр..
Это избавляет от многих проблемм..
Такой подход не лишен недостатков и неудобств, но перепробовав кучу разных вариантов с правами и настройками, я всё же остановился именно на таком.. _________________ In My Humble Opinion |
|
Вернуться к началу |
|
|
|