| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
ANdroid-87
Зарегистрирован: 03.03.2006
Сообщения: 5
Откуда: Vologda
|
 Добавлено: Пт Мар 03 2006 17:01 Заголовок сообщения: Ограничения в Win XP 2k |
 |
|
Доброго времени суток...
Мне нужно собрать информацию об ограничениях на пользователей. Системы WinXP SP2, Win2k SP4 + NTFS.
Задача: ограничить свободу пользователя, дабы оградить систему от ламерского или хакерского неблагоприятного влияния.
При этом:
- пользователь может пользоваться только отдельными прогами и ничем более (к примеру только офисом, фотошопом и т.п);
- у учетной записи должны быть права администратора а не пользователя, чтобы можно было подключать/отключать устройства типа флешка, сканер (USB);
- запрет на рабочий стол и его изменение (вообще здесь проблема с установкой обоев через контекстное меню в iexplorer);
- запрет на создание панелей инструментов на панели задач (проблема с drag-n-drop-ом, не удается препятствовать и закрыть панель);
- конечно же запрет изменения настроек (NoRun, NoDispCPL и т.п);
- а главное, возможность удобной блокировки-разблокировки (2 реестровых файла: блокирующий и разрешающий, чтобы не приходилось убивать пользователя для преодоления запретов)
Если комп с 2-мя дисками, то системный скрываю в реестре, вроде все ок, но при этом можно разархивировать на системный диск, что не желательно... (можно ли это поправить)
Если комп с 1 диском, то нужно закрыть доступ ко всему, кроме "Мои документы".
Желательно сделать все это через реестр с целью опять таки удобства блокировки-разблокировки.
Какие будут предложения??? |
|
| Вернуться к началу |
|
 |
ANdroid-87
Зарегистрирован: 03.03.2006
Сообщения: 5
Откуда: Vologda
|
| Добавлено: Пт Мар 03 2006 17:02 Заголовок сообщения: |
|
|
Вот мой вариант, посоветуйте что добавить, что убрать:
| Код: | Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoHTMLWallPaper"=dword:00000001
"NoChangingWallPaper"=dword:00000001
[HKEY_USERS\.DEFAULT\Control Panel\Keyboard]
"InitialKeyboardIndicators"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"RestrictRun"=dword:00000001
"NoCommonGroups"=dword:00000001
"NoFavoritesMenu"=dword:00000001
"NoFind"=dword:00000001
"NoRecentDocsMenu"=dword:00000001
"NoRun"=dword:00000001
"NoSetFolders"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"NoViewContextMenu"=dword:00000000
"NoDesktop"=dword:00000001
"NoActiveDesktop"=dword:00000001
"NoDrives"=dword:00000004
"NoViewOnDrive"=dword:00000004
"NoNetConnectDisconnect"=dword:00000001
"NoComputersNearMe"=dword:00000001
"NoDeletePrinter"=dword:00000001
"NoCDBurning"=dword:00000001
"NoNetHood"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"SecurityTab"=dword:00000001
"PrivacyTab"=dword:00000001
"ContentTab"=dword:00000001
"ConnectionsTab"=dword:00000001
"ProgramsTab"=dword:00000001
"AdvancedTab"=dword:00000001
"Advanced"=dword:00000001
"Settings"=dword:00000000
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]
"NoBrowserOptions"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
"NoAddRemovePrograms"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"NoEntireNetwork"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="IEXPLORE.exe"
"2"="explorer.exe"
"3"="avp32.exe"
"4"="avpm.exe"
"5"="Avrescue.exe"
"6"="klav.exe"
"7"="Addkey.exe"
"8"="avpupd.exe"
"9"="Repview.exe"
"10"="winrar.exe"
"11"="rar.exe"
"12"="unrar.exe"
"13"="Photoshp.exe"
"14"="Dreamweaver.exe"
"15"="Flash.exe"
"16"="WINWORD.EXE"
"17"="EXCEL.EXE"
"18"="FRONTPG.EXE"
"19"="MSACCESS.EXE"
"20"="POWERPNT.EXE"
"21"="AcroRd32.exe"
"22"="regedit.exe"
"23"="igfxtray.exe"
"24"="SMAagent.exe"
"25"="SMtray.exe"
"26"="avpcc.exe"
"27"="Photoshop.exe"
"28"="internat.exe"
"29"="nero.exe"
"30"="FineReader.exe"
"31"="kavmm.exe"
"32"="KWSProd.exe"
"33"="KAVShellEx.exe"
"34"="Up2Date.exe"
"35"="appldiff.exe"
"36"="wmplayer.exe"
"37"="cons.exe"
"38"="GARWINOS.EXE"
"39"="kodeks32.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"NoDispCPL"=dword:00000001 |
|
|
| Вернуться к началу |
|
|
DimoS
Зарегистрирован: 19.01.2006
Сообщения: 3
Откуда: Tomsk
|
| Добавлено: Сб Мар 04 2006 10:03 Заголовок сообщения: |
|
|
Групповые политики рулят... gpedit.msc + доменные учетные записи. При чем пользователю не обязательно быть администратором в системе, чтобы пдключить ту же флэшку или сканер (для этого админ драйвера ставить должен на USB). А если я администратор в системе, то все запреты легко снимаются...
_________________
В жизни нет ничего невозможного! |
|
| Вернуться к началу |
|
|
ANdroid-87
Зарегистрирован: 03.03.2006
Сообщения: 5
Откуда: Vologda
|
| Добавлено: Сб Мар 04 2006 10:45 Заголовок сообщения: |
|
|
DimoS,
gpedit.msc работает с реестром так же как и regedit.
Я писал в первом посте, что для удобства настройки системы мне выгоднее создать *.reg файл (а то придется каждый раз вспоминать, где какие ограничения ставить, и не мне одному, а на всему отделу - муторно больно).
Так что если gpedit рулит, как ты пишешь, то объясни будь добр почему...
А по доменным уч. записям можешь выразиться поконкретнее... 
Насчет прав пользователя: я сначала давал права пользователя, но почему-то комп заругался, когда я воткнул в него сканер (дрова-то я предварительно установил), так что пришлось дать права админа...  |
|
| Вернуться к началу |
|
|
July
Зарегистрирован: 23.01.2004
Сообщения: 92
Откуда: localhost
|
| Добавлено: Сб Мар 04 2006 21:55 Заголовок сообщения: Re: Ограничения в Win XP 2k |
|
|
| ANdroid-87 писал(а): |
- пользователь может пользоваться только отдельными прогами и ничем более (к примеру только офисом, фотошопом и т.п); |
Это можно сделать в групповых политиках, а чтобы они работали нужно включить компьютер в домен и использовать доменные учетные записи.
| ANdroid-87 писал(а): |
- у учетной записи должны быть права администратора а не пользователя, чтобы можно было подключать/отключать устройства типа флешка, сканер (USB); |
Вот это не факт флешка "определиться" быстро, так как драйверы ей иногда не нужны, а вот с установкой сканером может будут трудности.
| ANdroid-87 писал(а): |
- запрет на рабочий стол и его изменение (вообще здесь проблема с установкой обоев через контекстное меню в iexplorer); |
Этого в политиках навалом.
| ANdroid-87 писал(а): |
- запрет на создание панелей инструментов на панели задач (проблема с drag-n-drop-ом, не удается препятствовать и закрыть панель); |
здесь либо политики, либо неизменяемый(mandatory) профиль
| ANdroid-87 писал(а): |
- конечно же запрет изменения настроек (NoRun, NoDispCPL и т.п);
|
Пользователей в группу пользователи и политика для скрытия CPL
| ANdroid-87 писал(а): |
- а главное, возможность удобной блокировки-разблокировки (2 реестровых файла: блокирующий и разрешающий, чтобы не приходилось убивать пользователя для преодоления запретов)
|
Разные OU для разных групп пользователей/компьютеров
| ANdroid-87 писал(а): |
Если комп с 2-мя дисками, то системный скрываю в реестре, вроде все ок, но при этом можно разархивировать на системный диск, что не желательно... (можно ли это поправить)
Если комп с 1 диском, то нужно закрыть доступ ко всему, кроме "Мои документы".
|
Пользователей в группу пользователи и настройки NTFS "по-жестче" чтобы не создавал в директории в /
| ANdroid-87 писал(а): |
Желательно сделать все это через реестр с целью опять таки удобства блокировки-разблокировки.
Какие будут предложения??? |
1. Windows 2003 Server Std Ed
2. один OU для разрешения и один OU для запретов, пользователей по OU и по группам безопасности.
3. Группы безопасности. |
|
| Вернуться к началу |
|
|
ANdroid-87
Зарегистрирован: 03.03.2006
Сообщения: 5
Откуда: Vologda
|
| Добавлено: Вс Мар 05 2006 11:03 Заголовок сообщения: |
|
|
| Цитата: | | здесь либо политики, либо неизменяемый(mandatory) профиль |
А об этом поподробнее можно?
Затем:
1. July,
если внимательно читать, то во втором посте видно, что некоторые проблемы (в частности п. 1, 5 и 3 отчасти) я уже разрешил.
В первом посте я просто описал всю задачу... 
2. | Цитата: | | Вот это не факт флешка "определиться" быстро, так как драйверы ей иногда не нужны, а вот с установкой сканером может будут трудности. |
Вот со сканером и возникают трудности... а не надо бы.
3. | Цитата: | | нужно включить компьютер в домен и использовать доменные учетные записи. |
Компы не в домене а в рабочей группе.
4. | Цитата: | | Пользователей в группу пользователи и настройки NTFS "по-жестче" чтобы не создавал в директории в / |
Если у пользователя права админа, то все "по-жестче" летят к чертям! |
|
| Вернуться к началу |
|
|
July
Зарегистрирован: 23.01.2004
Сообщения: 92
Откуда: localhost
|
| Добавлено: Пн Мар 06 2006 08:00 Заголовок сообщения: |
|
|
| Цитата: | здесь либо политики, либо неизменяемый(mandatory) профиль. А об этом поподробнее можно?
|
Mandatory профайл то профиль в котором не сохраняются изменения пользователя (подробнее на microsoft.com). Сделать его можно след. образом:
1. Создать пользователя
2. Настроить профиль (поместить ярлычки и т.д.)
3. Переименовать файл ntuser.dat в ntuser.man
| Цитата: | | Вот это не факт флешка "определиться" быстро, так как драйверы ей иногда не нужны, а вот с установкой сканером может будут трудности. Вот со сканером и возникают трудности... а не надо бы. |
Несколько дней назад было обсуждение на эту тему, смотри пред. посты. Используй DeviceLock или что типа и BIOS.
| Цитата: | | нужно включить компьютер в домен и использовать доменные учетные записи. |
Компы не в домене а в рабочей группе.
Часть этого решения не подойдёт. 
| Цитата: | | Пользователей в группу пользователи и настройки NTFS "по-жестче" чтобы не создавал в директории в. Если у пользователя права админа, то все "по-жестче" летят к чертям! |
Истина и правда.  |
|
| Вернуться к началу |
|
|
ANdroid-87
Зарегистрирован: 03.03.2006
Сообщения: 5
Откуда: Vologda
|
| Добавлено: Пн Мар 06 2006 15:59 Заголовок сообщения: |
|
|
Вроде все...
Дал группу опытные пользователи + запрет на изменение и запись для папки documents and settings\%username%. Теперь drag-n-drop на панель задач, рабочий стол и в быстрый запуск невозможен.
Плюс убрал флажки изменить/запись на папках Windows и Program Files.
А в реестр для пользователя все равно пришловь добавлять ключи (ну почти gpedit) и теперь все Ok, пока что... вроде... |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
