Forum » Operacijski sistemi » [Xp] Kako jih zaklenit v nulo?
[Xp] Kako jih zaklenit v nulo?
Ice-Heki ::
Hei
Zadnjič sem bil v Lj v S!mobilovem centru kjer majo tud enga prenosnika, kjer se lahko testira EDGE Connect card.
No, tam je tisti računalnik zaklenjen - torej, uporabnik ima sicer opravilno vrstico, kjer lahko izbere zaustavitev sistema, ter samo dve povezavi - internet explorer in števec gprs podatkov.
Bljižnice v stilu WIN + R ne delajo (da bi odpru Zaženi ...), na internetu lahko odpreš samo stran simobil.si ...
Pa me zanima, kako bi to naredil še na svojem računalniku?
Zadnjič sem bil v Lj v S!mobilovem centru kjer majo tud enga prenosnika, kjer se lahko testira EDGE Connect card.
No, tam je tisti računalnik zaklenjen - torej, uporabnik ima sicer opravilno vrstico, kjer lahko izbere zaustavitev sistema, ter samo dve povezavi - internet explorer in števec gprs podatkov.
Bljižnice v stilu WIN + R ne delajo (da bi odpru Zaženi ...), na internetu lahko odpreš samo stran simobil.si ...
Pa me zanima, kako bi to naredil še na svojem računalniku?
imagodei ::
Je pa fora, da v WinXP lokalna group policy dela po defaultu za vse uporabnike. Če bi želel imeti različne group police za različne uporabnike, bi rabil imeti računalnik v 2000 ali 2003 domeni in spreminjat preko active directory (globalno group policy).
No, obstaja en trik, kako lahko group policy nastaviš za vse uporabnike, razen za admin grupo. Med logon procesom se lokalna polica prebere iz datoteke na disku in velja za vse uporabnike. Razen seveda, če določenim uporabnikom prepoveš dostop do datoteke (Deny na ACL):
"%systemroot%\System32\GroupPolicy\gpt.ini", desni klik --> properties --> Security:
Izberi grupo administratorjev in postavi Deny pravico na Full Control.
Lokalni Group policy se bo zdaj nalagal samo še za ne-administratorje. Ker pa imaš postavljen Deny na datoteki, ti tudi ne bo delal gpedit.msc. Preden lahko spet spreminjaš lokalno polico, moraš admin grupi odstranit kljukico in dovolit urejanje.
No, obstaja en trik, kako lahko group policy nastaviš za vse uporabnike, razen za admin grupo. Med logon procesom se lokalna polica prebere iz datoteke na disku in velja za vse uporabnike. Razen seveda, če določenim uporabnikom prepoveš dostop do datoteke (Deny na ACL):
"%systemroot%\System32\GroupPolicy\gpt.ini", desni klik --> properties --> Security:
Izberi grupo administratorjev in postavi Deny pravico na Full Control.
Lokalni Group policy se bo zdaj nalagal samo še za ne-administratorje. Ker pa imaš postavljen Deny na datoteki, ti tudi ne bo delal gpedit.msc. Preden lahko spet spreminjaš lokalno polico, moraš admin grupi odstranit kljukico in dovolit urejanje.
- Hoc est qui sumus -
Ice-Heki ::
Ok, na uporabniku sta dva računa - eden Administrator z administratorskimi pravicami in drugi Uporabnik z omejenimi pravicami.
Hm, očitno se bom lotil editiranja gpedit.msc, samo a obstaja kakšen vodič o tem? kaj spremeniti, da uporabniku onemogočiš dostop do sitemskih map in podobno?
Pa hvala za info
Hm, očitno se bom lotil editiranja gpedit.msc, samo a obstaja kakšen vodič o tem? kaj spremeniti, da uporabniku onemogočiš dostop do sitemskih map in podobno?
Pa hvala za info
Ice-Heki ::
Ja, dobr no ... sm mislu če bi kdo povedal po kakšnem principu / navodilih delate vi ...
imagodei ::
Uporabniku, ki ima omejen račun, je že po defaultu onemogočen write dostop do sistemskih map. Read pravice na sistemske mape nikakor ne vzemi, ker drugače bo cel kup zapletov: iz sistemskih map se valjda preberejo nastavitve med logon procesom, prav tako rabi tak uporabnik dostop do raznih dll-jev in podobnih zadev.
Če bi želel onemogočit dostop do posameznih sistemskih map (s temeljitim premislekom!), to spet narediš na ACL za posameznega uporabnika ali za skupino, v kateri ta uporabnik je. Desni klik na mapo, Properties, zavihek Security... Dovolj je, če userju/skupini vzameš dostop do mape; če hočeš res težiti, daš opcijo Deny.
Kot rečeno, omejen Read dostop do sistemskih map zadostuje - to pa omejen uporabniški račun že itak ima. Precej bolj pomembno je vzeti dostop takšnemu uporabniku do kakšnih pomembnih informacij; se pravi ne na sistemskih mapah, ampak na user mapah. Da ti ne bo navaden user hodil v tvojo privat mapo brati admin gesla ali pa tvoj načrt za prevlado svetu
Če bi želel onemogočit dostop do posameznih sistemskih map (s temeljitim premislekom!), to spet narediš na ACL za posameznega uporabnika ali za skupino, v kateri ta uporabnik je. Desni klik na mapo, Properties, zavihek Security... Dovolj je, če userju/skupini vzameš dostop do mape; če hočeš res težiti, daš opcijo Deny.
Kot rečeno, omejen Read dostop do sistemskih map zadostuje - to pa omejen uporabniški račun že itak ima. Precej bolj pomembno je vzeti dostop takšnemu uporabniku do kakšnih pomembnih informacij; se pravi ne na sistemskih mapah, ampak na user mapah. Da ti ne bo navaden user hodil v tvojo privat mapo brati admin gesla ali pa tvoj načrt za prevlado svetu
- Hoc est qui sumus -
Ice-Heki ::
Ja, to da bo mel dostop do sistemskih map (nekaterih) to itak ...
Samo, sedaj ima ta uporabnik že omejen račun, pa se ves čas prenašajo neke stvari iz interneta - jaz pa bi mu rad kot prvo omogočil dostop do interneta samo do 2h strani, poleg tega pa bi mu rad skril še opravilno vrstico in bljižnice |win| + |r|, + |e| ...
Samo, sedaj ima ta uporabnik že omejen račun, pa se ves čas prenašajo neke stvari iz interneta - jaz pa bi mu rad kot prvo omogočil dostop do interneta samo do 2h strani, poleg tega pa bi mu rad skril še opravilno vrstico in bljižnice |win| + |r|, + |e| ...
imagodei ::
Hja, glej, Group policy je kar zapletena zadeva, če bi jo tukaj razlagal. V bistvu je fora, da lahko PC totalno zakleneš, prilagodiš... Če zadevo uporabljaš v domeni, lahko npr. preko globalne police zahtevaš od vseh računalnikov v omrežju, da imajo vklopljen požarni zid in točno določene izjeme; da imajo vklopljen avtomatski update... Lahko nastaviš, da se računalniku ob priklopu v domeno avtomatsko naložijo neki splošni programi, ki se uporabljajo v podjetju (Office, firefox... whatever). Lahko nastaviš, da na namizju ni vidnih nobenih ikon, razen Start Buttna. Lahko omejiš dostop do Control Panela... Kar ti srce poželi.
Tisto, kar bi tebe zanimalo, je pa v bistvu precej simpl. Odpreš group policy konzolo (gpedit.msc) in se postaviš na Computer configuration ali User Configuration, potem pa na Administrative Templates (predlagam User config). Od tam se pa sprehajaš po podmenijih in bereš, katere opcije so na voljo. Ni vrag, da ne boš našel. Vsaka opcija je opisana, vsaka opcija ima jasno ime. Npr, pri meni:
User Configuration -> Administrative Templates -> Desktop -> Hide and disable all items on the desktop: Not Configured (Opcije sta še Enable in Disable).
Kakšen efekt ima ta nastavitev, je menda jasno?
Če se bojiš, da boš kaj zj**al, si naredi Ghost image, preden se lotiš podviga. Pa ne pozabit, da se group policy izven domene ne da določit na posamezne uporabnike, tako da se bo postavila tudi za administratorja. Če se boš preveč igral, se boš gladko zaklenil, potem boš pa moral iskat varianto, da boš nekako na datoteko gpt.ini postavil Deny opcijo za administratorja. Tako da to rajši naredi, preden rebootaš comp, drugače boš dobil sive lase že v mladosti
Tisto, kar bi tebe zanimalo, je pa v bistvu precej simpl. Odpreš group policy konzolo (gpedit.msc) in se postaviš na Computer configuration ali User Configuration, potem pa na Administrative Templates (predlagam User config). Od tam se pa sprehajaš po podmenijih in bereš, katere opcije so na voljo. Ni vrag, da ne boš našel. Vsaka opcija je opisana, vsaka opcija ima jasno ime. Npr, pri meni:
User Configuration -> Administrative Templates -> Desktop -> Hide and disable all items on the desktop: Not Configured (Opcije sta še Enable in Disable).
Kakšen efekt ima ta nastavitev, je menda jasno?
Če se bojiš, da boš kaj zj**al, si naredi Ghost image, preden se lotiš podviga. Pa ne pozabit, da se group policy izven domene ne da določit na posamezne uporabnike, tako da se bo postavila tudi za administratorja. Če se boš preveč igral, se boš gladko zaklenil, potem boš pa moral iskat varianto, da boš nekako na datoteko gpt.ini postavil Deny opcijo za administratorja. Tako da to rajši naredi, preden rebootaš comp, drugače boš dobil sive lase že v mladosti
- Hoc est qui sumus -
Nikonja ::
A nisi zdaj gor povedal "imagodei" da se da nastavit za vse razen admina z onim trikom !?
Zgodovina sprememb…
- spremenilo: Nikonja ()
imagodei ::
@Nikonja:
Saj zdaj tudi nisem tega zanikal. Z onim trikom preprečiš, da bi samega sebe (administratorja) zaklenil tako, kot navadnega uporabnika. Če to vseeno narediš, je še vedno mogoče zadevo rešit, samo po nepotrebnem si povzročaš sive lase, ker rabiš npr. dostop do računalnika preko LAN iz drugega računalnika, ali pa sistemski disk v drugi računalnik... Potem pa UID vedeti za administratorja, ker ga drugi XP-ji ne poznajo...
Torej še enkrat: group polico zablokiraš za admina tako, da daš gor Deny. Če pa pozabiš in zadevo tako zakleneš, da ne moreš priti do nje, potem se začnejo problemi. Eno je namreč access control list (ACL) oz. pravice na file sistemu, nekaj drugega pa Group Policy, ki ti že en nivo višje onemogoča dostop do določenih funkcij - pa imaš lahko vse pravice na file sistemu, ampak npr. ne boš mogel zagnati Windows Explorerja, niti inštalirat novega programa, niti zagnati Command prompta... Kako hudiča boš potem nastavil za administratorja Deny pravico na datoteki gpt.ini? Zelo težko, ane?
Saj zdaj tudi nisem tega zanikal. Z onim trikom preprečiš, da bi samega sebe (administratorja) zaklenil tako, kot navadnega uporabnika. Če to vseeno narediš, je še vedno mogoče zadevo rešit, samo po nepotrebnem si povzročaš sive lase, ker rabiš npr. dostop do računalnika preko LAN iz drugega računalnika, ali pa sistemski disk v drugi računalnik... Potem pa UID vedeti za administratorja, ker ga drugi XP-ji ne poznajo...
Torej še enkrat: group polico zablokiraš za admina tako, da daš gor Deny. Če pa pozabiš in zadevo tako zakleneš, da ne moreš priti do nje, potem se začnejo problemi. Eno je namreč access control list (ACL) oz. pravice na file sistemu, nekaj drugega pa Group Policy, ki ti že en nivo višje onemogoča dostop do določenih funkcij - pa imaš lahko vse pravice na file sistemu, ampak npr. ne boš mogel zagnati Windows Explorerja, niti inštalirat novega programa, niti zagnati Command prompta... Kako hudiča boš potem nastavil za administratorja Deny pravico na datoteki gpt.ini? Zelo težko, ane?
- Hoc est qui sumus -
imagodei ::
Ice-Heki:
mal sporoč, kako ti je šlo Če se ti slučajno kaj zalomi oz. (upam) da se ti nič ne bo.
mal sporoč, kako ti je šlo Če se ti slučajno kaj zalomi oz. (upam) da se ti nič ne bo.
- Hoc est qui sumus -
mauzer ::
Pri Microsoftu so tut se domislili uporabne zadeve :) SteadyState
Dream as if you'll live forever. Live as if you'll die today.
Ice-Heki ::
Hehe, mam doma starejši računalnik z XPji pa bom tam vse danes zvečer poskusil ... tako da če se mi slučajno zalomi, ne bo hudega :D
Vsekakor poročam o mojem početju
Vsekakor poročam o mojem početju
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | XP - Poganjanje programov v omejenem računu z administratorskimi pravicamiOddelek: Operacijski sistemi | 1173 (1048) | McMallar |
» | Win XP users rightsOddelek: Operacijski sistemi | 1362 (988) | ToniT |
» | Limited user (w2k)Oddelek: Operacijski sistemi | 935 (877) | alesrosina |
» | Pereč Windows problemOddelek: Operacijski sistemi | 1625 (1205) | Dzonson |
» | Omejen uporabnik na Windows XPOddelek: Programska oprema | 2063 (1818) | |SNap| |