uporabniška računa

Kot admin mu določiš pravice po želji.

Zdej, če ima nekdo admin račun, potem mu nima smisla kaj veliko omejevati, oziroma je to scanje proti vetru, ali že v osnovi zgrešen pristop.

Drugače pa se zato uporabi prej software restriction policies, kot pravice na NTFS. Manj možnih problemov in bolj enostavno.

Zaženeš gpedit.msc, če bi bilo kot je treba runas /user:administrator "mmc gpedit.msc", v help vpišeš ustrezen iskalni niz in naštudiraš. Priporočam, ker predomišljavo nastavljanje teh zadev lahko naredi operacijski sistem neuporaben, lahko pa odkriješ še en kup možnosti poleg spodaj opisane.

Ena enostavna in uporabna konfiguracija:

Ustvariš policy, enforcement - uporabniki, razen administratorjev, additional rules - dodaš dve pravili poti (unrestricted): %PROGRAMFILES% in %WINDIR%, lahko dodaš še *.LNK, ali pa ga izključiš v designatet file types in na koncu nastaviš secirity level na disallowed.

S tem si dosegel, da smejo uporabniki poganjati izvršilne datoteke le iz map %PROGRAMFILES% in %WINDIR%, ter datoteke *.lnk (bližnjice) od koderkoli. Če onemogočiš, da bi uporabniki v ti dve mapi gomilali programe, potem imaš popln nadzor nad tem, kaj se poganja na računalniku. Seveda lahko dodatno onemogočiš poganjanje določenega programa tudi v teh mapah. Kako pa onemogočiš pisanje v ti mapi, pa preberi v mojem postu v tej temi. Domeno pač odmisliš.

imagodei:
... imaš navodila zelo kriptično napisana.

Ta očitek slišim zelo pogosto. Dosti delam na tem, da to odpravim, uspeh pa je bolj polovičen. Je pa še bolj izrazito, če pišeš po forumu.

Mislim, da je bolj problem v linkani temi, točka 1 - NTFS pravice. Ta del je bil gotovo bolj čudno napisan, če je še kaj takšnega ... Celo to ni potrebno, da bi se doseglo zastavljeno v tej temi, tu sem mlo zaj... , OK, ampak škodi pa ne.

V linkani temi sem predlagal, da uporabnik ne piše v root direktorij - privzeto lahko, ker se pač drugače znajde tam tona smeti.

Zdej, če se zgolj klikne na C:\ mapo in se pri NTFS dovoljenjih vzamejo uporabniku pravice pisanja, potem ne more prazniti koša.

Kako to gre? Ko prvič nekaj brišeš, se ustvari mapa C:\RECYCLER, kjer ima vsak uporabnik še svojo mapo in rabi pravice pisanja v njo. Mapa C:\RECYCLER deduje pravice od C:\. Če uporabniku odvzameš pravice pisanja na c:\, potem jo zgubi tudi v mapi C:\RECYCLER.

Prvo je treba preprečiti dedovanje NTFS pravic na C:\RECYCLER (odstrani se kljukica pri Inherit from parent ...), pri tem pa obdržati trenutne pravice (pri samem postopku vpraša, če naj obdrži (kopira) trenutne nastavitve).

Tisti račun, s katrim se je prvič brisalo je tudi lastnik mape C:\RECYCLER, kar je "grdo" (potencialno problematično, lahko ga namreč odstraniš). "Lepše" je, da je lastnik te mape skupina Administrators. Tudi to spremeniš, vendar ravnotako ne "greš v globino", prevzameš lastništvo le nad mapo C:\RECYCLER, lastništvo nad podmapami naj ima vsak nad svojo, kar se zgodi, ko si jo vsak ustvari (nekaj zbriše in izprazni koš).

Popravljeno:
Lahko se še iz seznama NTFS dovoljenj briše tistega uporabnika, ki je mapo ustvaril (npr. Administrator), ostanejo naj administrators, creator owner, system in users.

Na koncu pa še odvzameš uporabniku pravice pisanja na C:\, kar je bil namen celega postopka.

V realnosti je to nekaj klikov, čeprav je dosti teksta.

Pismo verjamem da je ok samo glede na vse prijazne umesnike, in stotine programov verjamem da je tudi bol enostavna rešitev? (predvsem enostavna in varna za uporabnika)

OK, spodaj je to na trotlziher razloženo, zdej, če ti to deluje prehekersko, potem pusti, drugače pa se še oglasi, je še nekaj zadev to za podebatirat.

1.
Start > Run > gpedit.msc

2.
local computer policy
- windows settings
-- security settings
--- software restrictions policies

3.
Desni klik na tisto zadnje, ali kaj takega, da ustvariš nov pravilnik

4.
4.1
software restrictions policies > additonal rules > desni klik na prazen prostor v desnem oknu -> new path rule > v okno vpišeš pot do mape in določiš security level na unrestricted

Poti, ki jih moraš vpisati:
%PROGRAMFILES%
%WINDIR%
*.lnk

4.2
software restrictions policies > enforcement > properties

označiš zgoraj:
all software files (bolj ziher) ali all software files except lib. (bolj hitro)
označiš spodaj:
all users except local administrators

4.3
software restrictions policies > security levels
nastaviš (desni klik) na disallowed na privzeto

Kaj bi pa radi otrokom skril, kakšne fotke ata in mame pri telovadbi....?