Есть ситуация. На машине заведен пользователь с правами администратора. Как ему запретить менять пароль логина Администратор?
Права, к сожалению, не урезать до Опытного пользователя.
Права, к сожалению, не урезать до Опытного пользователя.
» Win XP Pro SP2. Адмнистраторские права.
А стандартные: средства Управление компьтером=>служебные программы=>Лок. пользователи=>Пользователи в свойствах админа поставить "Запретить смену пароля пользователем" - не помогают?
kivddddddd
А кто помешает пользователю снять эту галочку? Права же администраторские.
А кто помешает пользователю снять эту галочку? Права же администраторские.
Никак. Один админ другого не "админнее" 
а если попробовать запретить доступ этому пользователю к файлу %SystemRoot%\system32\config\SAM ??? попробуй, мож чего-то и выйдет. только админу разреши явно. расскажеш о результате?
ИМХО Админу разрешено "овладевать" файлами, так что скорее это не поможет.
Добавлено:
А если запретить доступ то врядли он сможет админ сможет залогонится в систему. ИМХО.
Добавлено:
А если запретить доступ то врядли он сможет админ сможет залогонится в систему. ИМХО.
Radbek
я имел в виду запретить доступ для изменения одному пользователю, которому надо запретить смену пароля. а в политиках безопастности можно прописать кому можно "овладеть" файлом, а кому нет. ну а на чтение доступ оставить...
Добавлено:
Radbek
попробовал сам. нифига. как-бы никто и ничего никому не запрещал... майкрософт бережет нервы админам - они могут спать спокойно, никто их права не заберет...
я имел в виду запретить доступ для изменения одному пользователю, которому надо запретить смену пароля. а в политиках безопастности можно прописать кому можно "овладеть" файлом, а кому нет.
ну а на чтение доступ оставить... Добавлено:
Radbek
попробовал сам. нифига. как-бы никто и ничего никому не запрещал... майкрософт бережет нервы админам - они могут спать спокойно, никто их права не заберет...
Radbek
Через реестр эту операцию никак нельзя провернуть?
Все же реестр не явный. Или скажем не такой явный как политики.
sk134679
Одному не запретишь. В том смысле, что он логин поменяет и толку ноль.
Машинка просто ездит по разным городам и желательно что бы пароль админа ни кто не трогал.
Через реестр эту операцию никак нельзя провернуть?
Все же реестр не явный. Или скажем не такой явный как политики.
sk134679
Одному не запретишь. В том смысле, что он логин поменяет и толку ноль.
Машинка просто ездит по разным городам и желательно что бы пароль админа ни кто не трогал.
Пароль админа никто не трогал?
1. Полагаю, что это можно сделать удалив ММС консоль со всеми возможными фичами в интерфейсе и заменив ее на консоль с ограниченным доступом к определенным функциям.
ММС - довольно мощная вещь.
2. Можно удалить dll, реализующий эти функции или переименовать его.
Правда, как он назвается сказать не могу, нужно порыться...
1. Полагаю, что это можно сделать удалив ММС консоль со всеми возможными фичами в интерфейсе и заменив ее на консоль с ограниченным доступом к определенным функциям.
ММС - довольно мощная вещь.
2. Можно удалить dll, реализующий эти функции или переименовать его.
Правда, как он назвается сказать не могу, нужно порыться...
IamDimulya
Проблема как раз и заключается в том, что бы запретить только одну функцию.
Проблема как раз и заключается в том, что бы запретить только одну функцию.
2Алл встречалось мне как-то описание одной программки (название забыл к сожалению), инсталируешь ее на систему, делаешь какие угодно изменения, после ребута система возвращается в исходное состояние, в принципе как-раз ваш случай, как вспомню название уточню.
MCSA
Извините, а смысл нам возвращать всё в исходное состояние после ребута?
Извините, а смысл нам возвращать всё в исходное состояние после ребута?
Shom
Попробуй подойти к проблеме иначе: сделать его не админом, но все необходимые права дать, потому как запретить что-либо администратору нельзя.
Попробуй подойти к проблеме иначе: сделать его не админом, но все необходимые права дать, потому как запретить что-либо администратору нельзя.
IamDimulya
Цитата:
причем тут консоль? Любые настройки можно вызывать с командной строки.
Выход здесь один - настроить локальные политики безопасности, дав широкие полномочия вплоть до установления параметров железа, но не права админа. Админ может завладеть чем угодно - против лома нет приема
Цитата:
Полагаю, что это можно сделать удалив ММС консоль со всеми возможными фичами в интерфейсе и заменив ее на консоль с ограниченным доступом к определенным функциям.
причем тут консоль? Любые настройки можно вызывать с командной строки.
Выход здесь один - настроить локальные политики безопасности, дав широкие полномочия вплоть до установления параметров железа, но не права админа. Админ может завладеть чем угодно - против лома нет приема
evle
Вопрос как раз в том, что бы не дать права только на изменение пароля администратора.
Хотя если кто поможет закрыть вообще доступ к изменению учетной записи админа, то это тот же путь.
Добавлено:
help777
Цитата:
Вот как раз вопрос, можно ли закрыть саму учетную запись локального администратора от всех остальных, даже если права схожи.
Вопрос как раз в том, что бы не дать права только на изменение пароля администратора.
Хотя если кто поможет закрыть вообще доступ к изменению учетной записи админа, то это тот же путь.
Добавлено:
help777
Цитата:
Админ может завладеть чем угодно - против лома нет приема
Вот как раз вопрос, можно ли закрыть саму учетную запись локального администратора от всех остальных, даже если права схожи.
Может не очень элегантно, но можно создать logon-скрипт, устанавливающий жёстко прописанный пароль, отнять права на доступ к этому скрипту и запретить овладевать объектами.
Da_Neil
Если еще присвоить ему права Систем.
Только как это сделать?
Если еще присвоить ему права Систем.
Только как это сделать?
Shom
Запретить что-либо админу нельзя. Но можно сделать пользователя, который сможет делать то же, что и администратор, но ему можно будет что-то запретить.
Запретить что-либо админу нельзя. Но можно сделать пользователя, который сможет делать то же, что и администратор, но ему можно будет что-то запретить.
Shom
Может объяснишь для каких зада и почему только админские права подходят. Я
присоединяюсь к большенству совет прост да йправа повер юзера и добавь то что нужно.
Ведь запуск программ установка новых даже установка железа все это можно дать и обычному пользователю
Может объяснишь для каких зада и почему только админские права подходят. Я
присоединяюсь к большенству совет прост да йправа повер юзера и добавь то что нужно.
Ведь запуск программ установка новых даже установка железа все это можно дать и обычному пользователю
evle
Выше Da_Neil предложил хорошую идею. А запретить доступ к какому то файлу группе Администраторы вполне возможно.
valdi77
Проблему я излагал выше. Машинка ездит по другим городам и подключается к различным доменам и т.д.
То есть закрыть всё и открывать когда понадобится возможности нет.
Выше Da_Neil предложил хорошую идею. А запретить доступ к какому то файлу группе Администраторы вполне возможно.
valdi77
Проблему я излагал выше. Машинка ездит по другим городам и подключается к различным доменам и т.д.
То есть закрыть всё и открывать когда понадобится возможности нет.
Shom
Цитата:
Также возможно и обратное
Цитата:
Поставить права на подключение к домену. Политики безопасности позволяют дать поьзователям самые широкие возможности (даже которые им не нужны), но права админа давать не обязательно и не нужно!
Цитата:
А запретить доступ к какому то файлу группе Администраторы вполне возможно.
Также возможно и обратное
Цитата:
Машинка ездит по другим городам и подключается к различным доменам и т.д.
То есть закрыть всё и открывать когда понадобится возможности нет.
Поставить права на подключение к домену. Политики безопасности позволяют дать поьзователям самые широкие возможности (даже которые им не нужны
), но права админа давать не обязательно и не нужно! help777
К сожалению не возможно предугадать что именно может понадобится, а так как машинка будет в другом городе, соответственно будет очень плохо.
К сожалению не возможно предугадать что именно может понадобится, а так как машинка будет в другом городе, соответственно будет очень плохо.
Shom
Цитата:
У Администратора есть право стать владельцем любого файла. Всегда. На своем компьютере естесственно. Можно конечно так попробовать (извращенный способ, конечно, но все-таки) Сделать logon-script и поместить его на Read Only дискету или CD и требовать вставки этого носителя. В скрипте ставить пароль админу. При желании скрипт можно пошифровать. Но если понадобится, поменяют. При физическом доступе к железу поменять могут даже не зная первоначального. Тут встает другой вопрос: кто потом под этим пользователем сидеть будет? Достаточно вменяемые люди не станут менять, даже если просто попросить их пароль не трогать, для остальных все зависит от уровня знаний.
Цитата:
А запретить доступ к какому то файлу группе Администраторы вполне возможно
У Администратора есть право стать владельцем любого файла. Всегда. На своем компьютере естесственно. Можно конечно так попробовать (извращенный способ, конечно, но все-таки) Сделать logon-script и поместить его на Read Only дискету или CD и требовать вставки этого носителя. В скрипте ставить пароль админу. При желании скрипт можно пошифровать. Но если понадобится, поменяют. При физическом доступе к железу поменять могут даже не зная первоначального. Тут встает другой вопрос: кто потом под этим пользователем сидеть будет? Достаточно вменяемые люди не станут менять, даже если просто попросить их пароль не трогать, для остальных все зависит от уровня знаний.
evle
В том то и дело, что разные.
Он через несколько рук проходит, пока не вернется обратно.
В том то и дело, что разные.
Он через несколько рук проходит, пока не вернется обратно.
evle
Цитата:
Это не так. Возможно запретить группе Администраторов присваить объекты с помощью локальных политик прав пользователей.
Однако, если этот второй админ догадается, где эта настройка и вернёт её обратно.. Также есть риск, что второй админ войдёт под учётной записью первого (любым методом, например, подобрав или сменив пароль) и надругается над проделанными настройками..
Цитата:
Шифровать скрипт нельзя (более того, система этого не позволит), т.к. у аккаунтов SYSTEM и второго админа нет ключей для расшифровки.
Цитата:
У Администратора есть право стать владельцем любого файла. Всегда.
Это не так. Возможно запретить группе Администраторов присваить объекты с помощью локальных политик прав пользователей.
Однако, если этот второй админ догадается, где эта настройка и вернёт её обратно.. Также есть риск, что второй админ войдёт под учётной записью первого (любым методом, например, подобрав или сменив пароль) и надругается над проделанными настройками..
Цитата:
При желании скрипт можно пошифровать.
Шифровать скрипт нельзя (более того, система этого не позволит), т.к. у аккаунтов SYSTEM и второго админа нет ключей для расшифровки.
Da_Neil
Цитата:
Разумеется.
Цитата:
Не обязательно встроенными срездствами. Где-то встречал прогу, шифрующую скрипт и дописывающую в начало код для расшифровки. Ключ можно вшить куда-нибудь. Главное, чтобы не догадались, что этот скрипт делает.
Можно сделать еще глобальнее: грузить WinPE с компакт диска. Не знаю, хватит ли функциональности, но пароль поменять точно не удастся.
Цитата:
Однако, если этот второй админ догадается, где эта настройка и вернёт её обратно..
Разумеется.
Цитата:
Шифровать скрипт нельзя (более того, система этого не позволит), т.к. у аккаунтов SYSTEM и второго админа нет ключей для расшифровки.
Не обязательно встроенными срездствами. Где-то встречал прогу, шифрующую скрипт и дописывающую в начало код для расшифровки. Ключ можно вшить куда-нибудь. Главное, чтобы не догадались, что этот скрипт делает.
Можно сделать еще глобальнее: грузить WinPE с компакт диска. Не знаю, хватит ли функциональности, но пароль поменять точно не удастся.
Da_Neil
При желании можно всё. И расшифровать то же. Как обычно вопрос в колличестве времени потребного на расшифровку.
Нужно просто тупо запретить менять пароль и спрятать это так, что бы в течении хотя бы часа это было бы обнаружить невозможно.
evle
Цитата:
Этот вариант к сожалению не подходит. Можно было бы сделать проще - используя методы индетефикации на сменных носителях. В том то то и дело, что к самому аккаунту админа доступ должен быть.
При желании можно всё. И расшифровать то же. Как обычно вопрос в колличестве времени потребного на расшифровку.
Нужно просто тупо запретить менять пароль и спрятать это так, что бы в течении хотя бы часа это было бы обнаружить невозможно.
evle
Цитата:
Не обязательно встроенными срездствами. Где-то встречал прогу, шифрующую скрипт и дописывающую в начало код для расшифровки. Ключ можно вшить куда-нибудь. Главное, чтобы не догадались, что этот скрипт делает.
Можно сделать еще глобальнее: грузить WinPE с компакт диска. Не знаю, хватит ли функциональности, но пароль поменять точно не удастся.
Этот вариант к сожалению не подходит. Можно было бы сделать проще - используя методы индетефикации на сменных носителях. В том то то и дело, что к самому аккаунту админа доступ должен быть.
evle
В JS есть способ зашифровать скрипт
Я тоже придерживаюсь 'скриптового' метода решения проблемы. Скрипт можно вообще прописать в политиках выключения машины.
+ можно поиграться с регмоном. И поставить на некоторые ключи реестра Readonly.
В JS есть способ зашифровать скрипт
Я тоже придерживаюсь 'скриптового' метода решения проблемы. Скрипт можно вообще прописать в политиках выключения машины.
+ можно поиграться с регмоном. И поставить на некоторые ключи реестра Readonly.
Shom
Проблема в самой постановке задачи: запретить что-либо тому, кто может делать все что угодно. Можно усложнить потенциальному злодею жизнь, но не сильно, Решить проблему целиком, IMHO, можно только в административном порядке (правила пользования написать)
TILK
Цитата:
Read Only в реестре не бывает. Бывает запрет на запись конкретному пользователю, но админу он не помеха.
Проблема в самой постановке задачи: запретить что-либо тому, кто может делать все что угодно. Можно усложнить потенциальному злодею жизнь, но не сильно, Решить проблему целиком, IMHO, можно только в административном порядке (правила пользования написать)
TILK
Цитата:
И поставить на некоторые ключи реестра Readonly
Read Only в реестре не бывает. Бывает запрет на запись конкретному пользователю, но админу он не помеха.
Помимо групповых политик скрипты можно запихать во все доступные виды автозагрузки и даже написать скрипт так, чтобы он сам себя копировал и прописывал везде, куда только можно (получится такой троянский скрипт 
)
)Предыдущая тема: Количество HDD в виндах
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.