» »

Pereč Windows problem

Pereč Windows problem

hruske ::

Imam en pereč windows problem, kot že naslov pravi.

Rad bi omejil javne računalnike z nameščenim windowsxp (2x) in enega z windows 2000 tako, da uporabniki ne bi mogli poganjati nenameščenih programov, rad pa bi pustil pisljiv dostop.
Težava nastopi, ko s tem, ko pustim pisljiv dostop, lahko uporabniki shranjujejo zadeve od povsod. Če potem želijo zagnat program, jim napise, da nimajo pravic. Ker pa so CREATOR OWNER, jih lahko spreminjajo in si nastavijo full control.

Torej, kako to zaobiti? S tem se mučim že par tednov in mi še ni uspelo.

Kakšen predlog?

cryptozaver ::

Kaj mislis s tem pisljiv dostop? Ce to da lahko shranijo nek tekst ali tabelo potem jim das samo userja. Ta lahko pise po mili volji uporablja SW, ne mora pa spreminjat sistema, instalirat SW (razen dolocenih samostojnih .exe).
Upam da prav razumem problem?

hruske ::

Poskusi sam.
Upam da imas vsaj dva uporabnika (administrator + se en). Se-enga premakni v skupino users, potem pa v eni NFTS mapi nastavi dovoljenja, da lahko pises in beres, ne mores pa izvajati datotek. Potem pa eno datoteko prekopiraj in ji poskusi spremeniti dovoljenja ter pognati.

Glej ga zlomka, uspeh zagotovljen.

hruske ::

Okej, a res ni nobenga strokovnjaka tukej?

BigWhale ::

group policies se je tej zadevi reklo vcasih...

noraguta ::

security->advanced->Creator ownr(edit)->Change premissions= deny
ce prav stekam ?
Pust' ot pobyedy k pobyedye vyedyot!

hruske ::

ja, ampak creator owner ima *vedno* pravice spreminjat pravice.

noraguta ::

ups , moja napaka. sorry.
Pust' ot pobyedy k pobyedye vyedyot!

G2 ::

pojdi na mapo v kateri dovoliš pisanje branje itd... pa klikni na security->ter klikni na userja->advance->še enkrat na userja pa edit-> nastavi kaj želiš obvezno deny view permision, take ownership, change permision in execute... apply, OK... nato imaš na listi dva userja eden je full control drugi pa special... vglavnem vse ostale userje, ki nimajo takih nastavitev ki si jih ti nastavo zbriši (administratorja, system, ... pusti pri miru)
nato pojdi še na CREATOR OWNER-ja -> edit->in isto deny kot prej->apply ->OK ->ok

in voila mora delat

lahko dostopaš do mape, brišeš pišeš, ne moreš pa izvajat pa tudi nastavitev ne moreš spremeniti, ker jih pod niti mape security ni več.... kake bol napredne fore pa itak user acc blokira...

LP

G2-Admin

hruske ::

G2-admin, ostali:

Da boste vedeli, da to ni izvedljivo.
Kakorkoli mešetariš, nastavljaš Everyone, CREATOR OWNER, Tisti uporabnik... mu odvzemas pravice, dodeljuješ krivice, karkoli, brez kakega resnega posega w windows ni možno onemogočit zaganjanje datotek.

Mal smotan. Sploh zarad virusov.

G2 ::

no zanimivo

ko sem jaz to probal na win 2003 je delovalo... datoteke, ki jo je user posnel v mapo se ni dalo zagnati pa de se dol vržeš.... sem mel se pol problem to mapo zbrisat.... edino administrator je pomagu

Mogoče pa sem imel samo srečo


LP

hruske ::

vse deluje, ako nekdo ni lastnik objekta.
torej ce je owner drugi. ce pa je user, potem je vse ničelno.

bom moral preizkusit z w2k3.

Microsoft ::

Kaj pa če narediš tako, da za tisto mapo, ki je nastavljena za shranjevanje stvari, nastaviš, da se pravice dedujejo na podmape?


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Dzonson ::

Z User preferences in pa Start/Run in gpedit.msc se da nastavit vse

hruske ::

Ne vem sicer kako, ampak če kdo ve... na XP ...

krneki ::

Probaj group policy->user config->admin templates->system, tle disabli command prompt in enabli tisto opcijo da lahko poganjajo samo programe, ki jih ti določiš.

Dzonson ::

cak malo, samo da najdem 5 min casa pa ti bom vse napisal ;)

CaqKa ::

to kar je krneki napisal..
samo če boš cmd disablal pol več ne moreš prijavnih skript zaganjat..
pa terminal services štrajkajo...

start > run > gpedit.msc > local computer policy > user configuration > administrative templates > system > run only allowed aplications
v to zadevo morš vpisat vsak program posebej. kar je slabost.
ta zadeva onemogoči da se programi zaženejo s klikom iz xplorerja. (zato je potrebno še cmd zapret)
samo tam piše da lahko zaženeš taskmanagera(task manager je zalaufan od userja SYSTEM namreč), s čemer smatram da je preko njegove File > new task (run) funkcije še vseeno možno zagnat kateri program... probaj.

Zgodovina sprememb…

  • spremenil: CaqKa ()

Dzonson ::

Torej ...

Prvo kaj mores sploh naredit je, da si naredis BACKUP particije (GHOST) kjer so instalirani WinXP. Ce bo prislo do kakih zapletov, da nebo potem jok in stok >:D

Ker bi mi pisanje vzelo prevec casa (ki ga zal trenutno ni dosti na voljo) sem ti na hitro poiskal par linkov na to temo:

http://download.microsoft.com/download/...
tu not ni-da-ni

http://support.microsoft.com/?kbid=3235...
tu je tocno za Software Restriction

http://www.jsiinc.com/SUBL/tip5600/rh56...
tu pa je en trik za Group Policy

Dzonson ::

pa da se ne bos prevec mantral probaj to
http://www.dougknox.com/xp/utils/xp_sec...

free verzija ti sicer ne omogoca spreminjanja za druge uporabnike (placljiva pa) ampak samo za uporabnika s katerim si prijavljen.
se pac prijavis z uporabniskim imenom katerega bi rad omejil, pozenes ta tool zadeva more delat :D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

win srv 2003 - file sharing

Oddelek: Operacijski sistemi
192214 (1379) Eureka
»

XP - Poganjanje programov v omejenem računu z administratorskimi pravicami

Oddelek: Operacijski sistemi
51183 (1058) McMallar
»

uporabniška računa

Oddelek: Operacijski sistemi
141531 (1207) Mercier
»

[Xp] Kako jih zaklenit v nulo?

Oddelek: Operacijski sistemi
162512 (2144) Ice-Heki
»

Omejen uporabnik na Windows XP

Oddelek: Programska oprema
222077 (1832) |SNap|

Več podobnih tem