» Win2000 - ограничение прав пользователей

Route - тогда разумеется никак
Нужен софтовый шлюз, чтобы ограничивать по учетной записи (MS ISA Server рулит в крупной сети) или мегадорогая железка.

Может быть какой-нибудь WinRoute или WinGate поставить, запаролить инет и все? Или может что-нибудь подобное есть, но более простое?

Route - это уже в соответствующие темы (глянь карту форума, она пришпилена и поюзай фильтр) - эта ветка все-таки для виндовых прав, а твой вопрос вне нее.

Добрый день всем
Подскажите как в логон скрипте в нт 4 домене ограничить права на пользование usb флешками юзеров домена на локальных машинах win 2000/xp

DeviceLock -- http://www.protect-me.com/dl/
Он ставиться сервисом и поэтому от себя добавлю:
через групповые политики нужно запретить пользователям отключение этого сервиса.

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
В случае 200/ХР

С тем, чтобы разрешить конкретному пользователю вход на конкретную машину разобрался.
Встал такой вопрос: как можно разрешить юзеру запуск на компе в домене только Word'а и Excel'a?

Слушайте а кто нибудь может сказать где находяться следующие опции в GPO:
отключение меню start, оключение run, скрытие диска c:, запрет alt+ctrl+del, запрет изменять свойства экрана.
За ранее спасибо

Nerian

Цитата:

отключение меню start, оключение run

Конфигурация пользователя\Административные шаблоны\Панель задач и меню пуск\...

Цитата:

скрытие диска c:

Конфигурация пользователя\Административные шаблоны\Проводник\Скрыть выбранные диски из окна "Мой компьютер"
Но это децтсвует только на "Проводник". Во всяких Far, Windows Commander и т.д диски будут по-прежнему видны.

Цитата:

запрет alt+ctrl+del

Конфигурация пользователя\Административные шаблоны\Система\Вход-выход из системы\Запретить блокировку компьютера

Цитата:

запрет изменять свойства экрана

Конфигурация пользователя\Административные шаблоны\Панель управления\Экран\...

глупый наверн вопрос а где эта конфигурация пользователей и справедливо ли это для Win2k3 server ?

TuMBLer

Цитата:

где находяться следующие опции в GPO

Вот в ней, родимой, и находятся. В GPO то бишь.

клас. а где находятся GPO?

TuMBLer

Цитата:

клас. а где находятся GPO?

Ну например, Active Directory. Пользователи и компьютеры, твой домен, свойства, закладка "Групповые политики", кнопка "Изменить".
Но для начала советую сходить сюда , скачать White Paper и почитать.

griin
...скорее всего проблема в том, что у тебя две сетевухи на одном компе...если да, то у меня вылечилось после рестарта сервака...ещё обрати внимание на маршрутизатор...если есть

Задачка такая.
Везде WinXP. На рабочей станции стоит софтина, которая синхронизирует время рабочей станции с сервером 1 раз в час. На рабочей станции права простого юзера.
Как разрешить менять системное время на рабочей станции только этой софтине, а самому юзеру запретить?
Юзер в группе Пользователи.
Переводить юзера в другую группу нельзя.
Запуск софтины от имени Админа ничего не даст.
Или это в принципе невозможно?

Добавлено
Или может можно как-нибудь с помощью реестра скрыть пункт настройки часов от юзера?

exMIB

Цитата:

.....разрешить менять системное время на рабочей станции только этой софтине....

А через "Назначенные задания" не пробовал? Запуск от имени....

Добавлено
Только щас заметил:

Цитата:

Везде WinXP.....

Хотя топик-то по W2000. Аккуратней.

ZUMR
Разве Win2000 - это не WinNT 5.0, а WinXP это не WinNT 5.1 ?

exMIB

Цитата:

Разве Win2000 - это не WinNT 5.0, а WinXP это не WinNT 5.1

В данной теме - это . Читай правила и название темы.
Всё, больше не отвечаю.

У меня вопросик такой. Извините если не в тему.

Не знаю где можно в WInXP запретить например установку программ пользователем и например сделать не видимыми для пользователя Панель Управления, и жесткий диск ???

Машины в домене Windows 2000?

Agilyera В политиках безопасноти, которые распространяются на эти компы.

fortune я порылся там, нашел много чего интересного, но не нашел закрытие жесткого диска пользователю. Слышал где то что с помощью стандартных средств этого сделать не получится , нужно что то дополнительно с Microsoft качать, и устанавливать . Или это из другой оперы?

Цитата:

много чего интересного

по умолчанию domain users или пользователи в группе Local users не имеют никаких прав установки нового софта\харда

с помощью GPO можно ограничить практически все
http://uis.georgetown.edu/software/documentation/win2000/win2000.account.group.permissions.html
Administrators
You should rarely, if ever, have to give someone else Administrative access to your computer. A person assigned to this group has total freedom to change Windows 2000 system settings. An Administrator can view the personal information and files of other users with accounts on the computer, create new user accounts, and modify existing accounts (including removing accounts and changing passwords). An Administrator can install any Widows-compatible software on the computer.

While an Administrative account gives a user maximum freedom, it also carries some risk. While logged in as Administrators, people can make any changes to system settings-- even if those changes could damage data files, programs, or the operating system.

The account created for you when you got your new computer (or when you upgraded to Windows 2000) is an Administrative account. You should keep this account to ensure that you can install and run software as needed, but remember that making changes to system settings can be risky. When in doubt about whether or not you should perform a task that modifies the Windows system, contact your Help Desk for advice.

Power Users
You will probably assign most people to this group. A Power User can do nearly as much as an Administrator, but with a limited ability to change system settings in ways that could cause harm to the operating system.

A Power User is able to perform everyday computing tasks and can also perform some administrative-type tasks, like creating and managing user accounts, or connecting to a network printer. Note, however, that Power Users cannot assign themselves or anyone else to the Administrators group. A Power User can install some kinds of software, but most applications will require Administrative permissions to install.

Unlike Administrators, Power Users do not have access to the data and files of other users, unless those users decide to grant them access.

Users
It is nearly impossible for members of the Users group to damage the Windows 2000 operating system and installed programs. A User can run any certified Windows 2000 program, and has full control over their own data files, but cannot make any changes to system files or to program files. While a User account provides the most security, it can sometimes be overly restrictive, and prevent someone from performing necessary tasks. For example, a User cannot run most software programs that were written for Windows 95 or 98.

If you would like to grant someone only minimal access to your computer--for example, to create a word processing document-- start by assigning them to the Users group. Keep in mind that Users are unable to run most programs that were written for earlier versions of Windows-- if you want someone to be able to run older Windows programs, you should assign them to the Power Users group.

jokerv спасибо за информацию, но нужно не это

Будь то в домене или на локальном компьютере существует возможность администраторам, прикрыть доступ к жесткому диску, убрать из стартового меню некоторые опции, запретить правую кнопку мыши, и пр. некоторым пользователям. Делается насколько я знаю это через Security Settings. Но порывшись там как администратор этих опций я не нашел. Подскажите где и как это найти пожалуйста...........

Agilyera

mmc -->add snap-in-->Group policy object editor

jokerv

Супер нашел СПАСИБО

Доступ к каким разделам реестра и файловой системы позволит обычному юзеру без прав администратора ставить драйвер Star Force для просмотра дисков ИТС от 1с?
И еще есть проблема с установкой опять таки 1с релизов 7.7 которые благодаря 16 разрядному инсталлятору с правами обычного пользователя не устанавливаются.
Пытался мониторить regmon'ом 7.0, но он выдает выдает такую помойку информации что невозможно разобратся что куда пишет.

dostalo
Запусти установщик из под обычного пользователя, остановись в момент ошибки, regmon тоже останови, и смотри в regmon с конца на предмет ACCESS_DENIED

Система защиты выдает : Для инсталляции продукта необходимо иметь права администратора.
Никаких ошибок ACCESS_DENIED regmon не вылавливает.

Кто подскажет можно ли счделать так, чтобы юзер не мог установить никакие "левые" программы кроме списка заранее определенных, котрые нужно ставить/сносить регулярно (как минимум 2-3 раза в месяц) без четкого расписания и по ситуации. Есть домен, локальные права в приципе можно ограничить хоть до просто User, но чтобы эта возможность установки/удаления присутствовала.

Я в принципе смотрел, но нашел только упоминание о контроле программ с цифровой подписью, что не прокатывает - ну нет у программ подписей MS.

kojev
Опубликовать дистрибутивы в групповой политике. Опубликованные таким образом программы пользователь с обычными правами может ставить и сносить.
Централизованная установка ПО в сетях Windows
установка ПО через Групповые политики (GPO)