[Xp] Kako jih zaklenit v nulo?

V sluzbi imajo sistemci tole. Sicer stane $49, a verjetno raste tudi na travniku.

Je pa fora, da v WinXP lokalna group policy dela po defaultu za vse uporabnike. Če bi želel imeti različne group police za različne uporabnike, bi rabil imeti računalnik v 2000 ali 2003 domeni in spreminjat preko active directory (globalno group policy).

No, obstaja en trik, kako lahko group policy nastaviš za vse uporabnike, razen za admin grupo. Med logon procesom se lokalna polica prebere iz datoteke na disku in velja za vse uporabnike. Razen seveda, če določenim uporabnikom prepoveš dostop do datoteke (Deny na ACL):

"%systemroot%\System32\GroupPolicy\gpt.ini", desni klik --> properties --> Security:

Izberi grupo administratorjev in postavi Deny pravico na Full Control.

Lokalni Group policy se bo zdaj nalagal samo še za ne-administratorje. Ker pa imaš postavljen Deny na datoteki, ti tudi ne bo delal gpedit.msc. Preden lahko spet spreminjaš lokalno polico, moraš admin grupi odstranit kljukico in dovolit urejanje.

Vodič...?

Hmm, a si poskusil Google?

Recimo tole?

Uporabniku, ki ima omejen račun, je že po defaultu onemogočen write dostop do sistemskih map. Read pravice na sistemske mape nikakor ne vzemi, ker drugače bo cel kup zapletov: iz sistemskih map se valjda preberejo nastavitve med logon procesom, prav tako rabi tak uporabnik dostop do raznih dll-jev in podobnih zadev.

Če bi želel onemogočit dostop do posameznih sistemskih map (s temeljitim premislekom!), to spet narediš na ACL za posameznega uporabnika ali za skupino, v kateri ta uporabnik je. Desni klik na mapo, Properties, zavihek Security... Dovolj je, če userju/skupini vzameš dostop do mape; če hočeš res težiti, daš opcijo Deny.

Kot rečeno, omejen Read dostop do sistemskih map zadostuje - to pa omejen uporabniški račun že itak ima. Precej bolj pomembno je vzeti dostop takšnemu uporabniku do kakšnih pomembnih informacij; se pravi ne na sistemskih mapah, ampak na user mapah. Da ti ne bo navaden user hodil v tvojo privat mapo brati admin gesla ali pa tvoj načrt za prevlado svetu

Hja, glej, Group policy je kar zapletena zadeva, če bi jo tukaj razlagal. V bistvu je fora, da lahko PC totalno zakleneš, prilagodiš... Če zadevo uporabljaš v domeni, lahko npr. preko globalne police zahtevaš od vseh računalnikov v omrežju, da imajo vklopljen požarni zid in točno določene izjeme; da imajo vklopljen avtomatski update... Lahko nastaviš, da se računalniku ob priklopu v domeno avtomatsko naložijo neki splošni programi, ki se uporabljajo v podjetju (Office, firefox... whatever). Lahko nastaviš, da na namizju ni vidnih nobenih ikon, razen Start Buttna. Lahko omejiš dostop do Control Panela... Kar ti srce poželi.

Tisto, kar bi tebe zanimalo, je pa v bistvu precej simpl. Odpreš group policy konzolo (gpedit.msc) in se postaviš na Computer configuration ali User Configuration, potem pa na Administrative Templates (predlagam User config). Od tam se pa sprehajaš po podmenijih in bereš, katere opcije so na voljo. Ni vrag, da ne boš našel. Vsaka opcija je opisana, vsaka opcija ima jasno ime. Npr, pri meni:

User Configuration -> Administrative Templates -> Desktop -> Hide and disable all items on the desktop: Not Configured (Opcije sta še Enable in Disable).

Kakšen efekt ima ta nastavitev, je menda jasno?

Če se bojiš, da boš kaj zj**al, si naredi Ghost image, preden se lotiš podviga. Pa ne pozabit, da se group policy izven domene ne da določit na posamezne uporabnike, tako da se bo postavila tudi za administratorja. Če se boš preveč igral, se boš gladko zaklenil, potem boš pa moral iskat varianto, da boš nekako na datoteko gpt.ini postavil Deny opcijo za administratorja. Tako da to rajši naredi, preden rebootaš comp, drugače boš dobil sive lase že v mladosti

A nisi zdaj gor povedal "imagodei" da se da nastavit za vse razen admina z onim trikom !?

Ice-Heki:

mal sporoč, kako ti je šlo Če se ti slučajno kaj zalomi oz. (upam) da se ti nič ne bo.

Pri Microsoftu so tut se domislili uporabne zadeve :) SteadyState