Forum » Operacijski sistemi » uporabniška računa
uporabniška računa
XPSISTEM ::
Na kratko bi vas poprosil za navodila za uporabniška računa namreč..
Če sm jest admini kako nastavim za drugega napr. MIHA da bo imel določene programe z katerimi bo delav... napr MIHA ima tudi neomejen račun...
So kake nastavitve al je caka pri instalaciji oz zaporedju nalaganja in ustvarjanja račun?
Najlepša hvala!
Če sm jest admini kako nastavim za drugega napr. MIHA da bo imel določene programe z katerimi bo delav... napr MIHA ima tudi neomejen račun...
So kake nastavitve al je caka pri instalaciji oz zaporedju nalaganja in ustvarjanja račun?
Najlepša hvala!
dronyx ::
Pravice v XP niso vezane na programe, ampak na datotečni sistem. Torej ti ne daš pravico uporabniku na Word ali Excel, lahko pa mu recimo odvzameš pravico nad mapo, kjer je program inštaliran in ga potem seveda ne more zagnati.
Mercier ::
Zdej, če ima nekdo admin račun, potem mu nima smisla kaj veliko omejevati, oziroma je to scanje proti vetru, ali že v osnovi zgrešen pristop.
Drugače pa se zato uporabi prej software restriction policies, kot pravice na NTFS. Manj možnih problemov in bolj enostavno.
Drugače pa se zato uporabi prej software restriction policies, kot pravice na NTFS. Manj možnih problemov in bolj enostavno.
XPSISTEM ::
Hvala za odgovora! Mi lahko razložiš osnovno delovanje tega programa...software restriction policies
Mercier ::
Zaženeš gpedit.msc, če bi bilo kot je treba runas /user:administrator "mmc gpedit.msc", v help vpišeš ustrezen iskalni niz in naštudiraš. Priporočam, ker predomišljavo nastavljanje teh zadev lahko naredi operacijski sistem neuporaben, lahko pa odkriješ še en kup možnosti poleg spodaj opisane.
Ena enostavna in uporabna konfiguracija:
Ustvariš policy, enforcement - uporabniki, razen administratorjev, additional rules - dodaš dve pravili poti (unrestricted): %PROGRAMFILES% in %WINDIR%, lahko dodaš še *.LNK, ali pa ga izključiš v designatet file types in na koncu nastaviš secirity level na disallowed.
S tem si dosegel, da smejo uporabniki poganjati izvršilne datoteke le iz map %PROGRAMFILES% in %WINDIR%, ter datoteke *.lnk (bližnjice) od koderkoli. Če onemogočiš, da bi uporabniki v ti dve mapi gomilali programe, potem imaš popln nadzor nad tem, kaj se poganja na računalniku. Seveda lahko dodatno onemogočiš poganjanje določenega programa tudi v teh mapah. Kako pa onemogočiš pisanje v ti mapi, pa preberi v mojem postu v tej temi. Domeno pač odmisliš.
Ena enostavna in uporabna konfiguracija:
Ustvariš policy, enforcement - uporabniki, razen administratorjev, additional rules - dodaš dve pravili poti (unrestricted): %PROGRAMFILES% in %WINDIR%, lahko dodaš še *.LNK, ali pa ga izključiš v designatet file types in na koncu nastaviš secirity level na disallowed.
S tem si dosegel, da smejo uporabniki poganjati izvršilne datoteke le iz map %PROGRAMFILES% in %WINDIR%, ter datoteke *.lnk (bližnjice) od koderkoli. Če onemogočiš, da bi uporabniki v ti dve mapi gomilali programe, potem imaš popln nadzor nad tem, kaj se poganja na računalniku. Seveda lahko dodatno onemogočiš poganjanje določenega programa tudi v teh mapah. Kako pa onemogočiš pisanje v ti mapi, pa preberi v mojem postu v tej temi. Domeno pač odmisliš.
imagodei ::
Saša,
najprej ena misel - tole je za uporabnika, ki sprašuje, kako nekoga naredit admina, totalen overkill. Človek očitno rabi rešitev za eno mašino, ne gre za rešitev v domeni.
Drugače pa - sem prebral tvoja navodila tukaj in v linkani temi. Zadeva se mi zdi zanimiva, ampak imaš navodila zelo kriptično napisana. Prosil bi te, če lahko malce bolj obširno napišeš oz. razložiš zgornji postopek.
najprej ena misel - tole je za uporabnika, ki sprašuje, kako nekoga naredit admina, totalen overkill. Človek očitno rabi rešitev za eno mašino, ne gre za rešitev v domeni.
Drugače pa - sem prebral tvoja navodila tukaj in v linkani temi. Zadeva se mi zdi zanimiva, ampak imaš navodila zelo kriptično napisana. Prosil bi te, če lahko malce bolj obširno napišeš oz. razložiš zgornji postopek.
- Hoc est qui sumus -
Mercier ::
imagodei:
... imaš navodila zelo kriptično napisana.
Ta očitek slišim zelo pogosto. Dosti delam na tem, da to odpravim, uspeh pa je bolj polovičen. Je pa še bolj izrazito, če pišeš po forumu.
Mislim, da je bolj problem v linkani temi, točka 1 - NTFS pravice. Ta del je bil gotovo bolj čudno napisan, če je še kaj takšnega ... Celo to ni potrebno, da bi se doseglo zastavljeno v tej temi, tu sem mlo zaj... , OK, ampak škodi pa ne.
V linkani temi sem predlagal, da uporabnik ne piše v root direktorij - privzeto lahko, ker se pač drugače znajde tam tona smeti.
Zdej, če se zgolj klikne na C:\ mapo in se pri NTFS dovoljenjih vzamejo uporabniku pravice pisanja, potem ne more prazniti koša.
Kako to gre? Ko prvič nekaj brišeš, se ustvari mapa C:\RECYCLER, kjer ima vsak uporabnik še svojo mapo in rabi pravice pisanja v njo. Mapa C:\RECYCLER deduje pravice od C:\. Če uporabniku odvzameš pravice pisanja na c:\, potem jo zgubi tudi v mapi C:\RECYCLER.
Prvo je treba preprečiti dedovanje NTFS pravic na C:\RECYCLER (odstrani se kljukica pri Inherit from parent ...), pri tem pa obdržati trenutne pravice (pri samem postopku vpraša, če naj obdrži (kopira) trenutne nastavitve).
Tisti račun, s katrim se je prvič brisalo je tudi lastnik mape C:\RECYCLER, kar je "grdo" (potencialno problematično, lahko ga namreč odstraniš). "Lepše" je, da je lastnik te mape skupina Administrators. Tudi to spremeniš, vendar ravnotako ne "greš v globino", prevzameš lastništvo le nad mapo C:\RECYCLER, lastništvo nad podmapami naj ima vsak nad svojo, kar se zgodi, ko si jo vsak ustvari (nekaj zbriše in izprazni koš).
Popravljeno:
Lahko se še iz seznama NTFS dovoljenj briše tistega uporabnika, ki je mapo ustvaril (npr. Administrator), ostanejo naj administrators, creator owner, system in users.
Na koncu pa še odvzameš uporabniku pravice pisanja na C:\, kar je bil namen celega postopka.
V realnosti je to nekaj klikov, čeprav je dosti teksta.
Zgodovina sprememb…
- spremenil: Mercier ()
Mercier ::
imagodei:
najprej ena misel - tole je za uporabnika, ki sprašuje, kako nekoga naredit admina, totalen overkill. Človek očitno rabi rešitev za eno mašino, ne gre za rešitev v domeni.
Tole je IMHO edina enostavna rešitev. Pri nastavljanju NTFS pravic se lahko zaštrika, da računalnika ne bo mogel več uporabljati. Saj software restriction policy je lahko zapleten, konkretna predlagana nastavitev pa je uizi.
XPSISTEM ::
Pismo verjamem da je ok samo glede na vse prijazne umesnike, in stotine programov verjamem da je tudi bol enostavna rešitev? (predvsem enostavna in varna za uporabnika)
imagodei ::
Ko želiš nastavit generične rešitve (npr. omejen račun, račun z vsemi pravicami), je tudi nastavljanje generično (uporabnika daš v skupino navadnih userjev oz. v admin grupo).
Ko hočeš komplicirat in administratorju dovolit uporabo le nekaterih programov, zadeve niso več trivialne.
Ko hočeš komplicirat in administratorju dovolit uporabo le nekaterih programov, zadeve niso več trivialne.
- Hoc est qui sumus -
Mercier ::
OK, spodaj je to na trotlziher razloženo, zdej, če ti to deluje prehekersko, potem pusti, drugače pa se še oglasi, je še nekaj zadev to za podebatirat.
1.
Start > Run > gpedit.msc
2.
local computer policy
- windows settings
-- security settings
--- software restrictions policies
3.
Desni klik na tisto zadnje, ali kaj takega, da ustvariš nov pravilnik
4.
4.1
software restrictions policies > additonal rules > desni klik na prazen prostor v desnem oknu -> new path rule > v okno vpišeš pot do mape in določiš security level na unrestricted
Poti, ki jih moraš vpisati:
%PROGRAMFILES%
%WINDIR%
*.lnk
4.2
software restrictions policies > enforcement > properties
označiš zgoraj:
all software files (bolj ziher) ali all software files except lib. (bolj hitro)
označiš spodaj:
all users except local administrators
4.3
software restrictions policies > security levels
nastaviš (desni klik) na disallowed na privzeto
1.
Start > Run > gpedit.msc
2.
local computer policy
- windows settings
-- security settings
--- software restrictions policies
3.
Desni klik na tisto zadnje, ali kaj takega, da ustvariš nov pravilnik
4.
4.1
software restrictions policies > additonal rules > desni klik na prazen prostor v desnem oknu -> new path rule > v okno vpišeš pot do mape in določiš security level na unrestricted
Poti, ki jih moraš vpisati:
%PROGRAMFILES%
%WINDIR%
*.lnk
4.2
software restrictions policies > enforcement > properties
označiš zgoraj:
all software files (bolj ziher) ali all software files except lib. (bolj hitro)
označiš spodaj:
all users except local administrators
4.3
software restrictions policies > security levels
nastaviš (desni klik) na disallowed na privzeto
XPSISTEM ::
ufufuuuu
res je preveč hekersko ja :) Sej sm že delov marsi kej sam z tem se pa nebi upov igrat pa še vešč nism ravni..
sej pravm da bi te stvari mogle bit bl izi urejenom saj da za utroke starši lohka kej upedenajo na bol enostaven način.
Še kak nasvet'
res je preveč hekersko ja :) Sej sm že delov marsi kej sam z tem se pa nebi upov igrat pa še vešč nism ravni..
sej pravm da bi te stvari mogle bit bl izi urejenom saj da za utroke starši lohka kej upedenajo na bol enostaven način.
Še kak nasvet'
Mercier ::
Gotovo je več programov, ker pa nisem nikoli bil v situaciji, da bi moral kaj takega zmontirati, ne morem nič priporočiti.
Zakaj se pa še sploh oglašam v temi? Torej, operacijski sistem je dobro opremljen z varnostnimi in nadzornimi funkcionalnostmi sam po sebi. Za nadebudneže, oziroma "v njihovo dobro" se da namesti še kaj dodatnega za spletne vsebine ipd. Drugače pa je že vse tu, relativno enostavno uporabljivo. Po drugi strani pa razni programi, ki računalnik ščitijo in vzdržujejo niti niso tako hudo uporabniku prijazni, vsaj, da se doseže želeno, ne, oni, ki vzdržujejo, so pa itak cel smeh in v "rokah genija" največja grožnja delovanju računalnika. Če strnem, mislim, da tak software ni kaj prida.
Zakaj se pa še sploh oglašam v temi? Torej, operacijski sistem je dobro opremljen z varnostnimi in nadzornimi funkcionalnostmi sam po sebi. Za nadebudneže, oziroma "v njihovo dobro" se da namesti še kaj dodatnega za spletne vsebine ipd. Drugače pa je že vse tu, relativno enostavno uporabljivo. Po drugi strani pa razni programi, ki računalnik ščitijo in vzdržujejo niti niso tako hudo uporabniku prijazni, vsaj, da se doseže želeno, ne, oni, ki vzdržujejo, so pa itak cel smeh in v "rokah genija" največja grožnja delovanju računalnika. Če strnem, mislim, da tak software ni kaj prida.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kako zbrisati nezbrisane mape iz koš„a !?!Oddelek: Pomoč in nasveti | 5591 (4873) | SanAndreas |
» | winxp sp2 - samo admin se lahko logiraOddelek: Operacijski sistemi | 1515 (1340) | alesrosina |
» | Disk je preveč zasedenOddelek: Pomoč in nasveti | 1331 (1224) | OnTheMic |
» | Pereč Windows problemOddelek: Operacijski sistemi | 1624 (1204) | Dzonson |
» | Omejen uporabnik na Windows XPOddelek: Programska oprema | 2062 (1817) | |SNap| |