» Права доступа пользователям в WinXP

Есть сетка из 5 компов (3-WinXPprofSP1, 2-Win98), соеденениы через хаб, так же, в хаб воткнут шлюз D-Link 704P, для выхода компов в Инет... Хотя, пока шлюз в ремотне, шлюзом является одна из маши ХР с двумя сетевыми...

Завесля умник, который приходит в мое отсуствие и устанавливает левые проги на компы. Как бы навести порядок, а то после таких гостей возни много , не охото лишний раз ставить винду...

Нужно оставить на компах:
Доступ в Интернет через IE, Почта Bat, MS Offis, WinAmp, DrWeb (или любой антивир), ну и так несколько прог, в общем то что уже установлено то и можно...

Запретить установку новых програм, доступ в папки WINDOWS, PROGRAM FILES ну и ко всему тому, чтобы небыло возможности снять все эти права...

еще гдето читал что можно обойти пароль администратора в ХР... как бы еще от этого защитится?

Желательно это все настроить на 1 пользователя, чтобы под логином Администратор были все права!

Прошу помощи, т.к. требуется в ближайшее время и за короткий срок (пришел и за 1 час все настроил) все привести в порядок. Одному, без помощи ALL, боюсь не получится или получится долго

Вкл!Поодержу НТФС!!!И в настройка папки убери галочкку исп общ доступ!И у тебя появитсья закладочка Безопастность!!!После чего! В закладке БезопастностЬ на определенном диске либо на определенной папке выставляю что кому можна!!! Зделай на всех дисках все права Админу! И лиш на одном к примеру диске С: ТОлько чтение для польз.данного!!!+можна выделить папку создать любую USER -- и дать права на запись и поставить квоту на диск не превышать к примеру 1Гб!!!
Далле так же в Безопастности для опр.пользователя разреши запуск лиш тех прог что ты хочешЬ!

Shaun
Я так понимаю все нужно делать под логином Админ?
В настрокайх какой папки? УБрать общий доступ к диску С?

Наверно нужно сделать полный доступ для МОИ ДОКУМЕНТЫ и C:/MP3 C:/TEMP ну и хватит...

А как допустим это все будет рабоать через сетевое окружение, на компе Рабочая группа и они расшарены папки МОИ ДОКУМЕНТЫ, для того чтобы могли др.др. лазить и обмениватся файлами... как бы это еще сохранить

ИМХО
aLGo
для NT систем(как сделать в 98 не помню, да и там не можно ntfs )

Цитата:

под логином Админ

да. под учетной записью входящей в группу Администраторы.

Цитата:

УБрать общий доступ к диску С

я бы вообще скрыл его из эксплорера
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDrives"=dword:00000004
это скроет С:\ из explorer, но не из других файл-менеджеров(FAR, TC).
Это не панацея, но помогает от не особо продвинутых "помощников"...
Затем удалить всех лишних юзеров из групп power users(опытные пользователи) и administrators(администраторы). Всех ввести в группу пользователи (users).
+ntfs и права доступа. К c:\Windows группе Администраторы - full access остальным read&modify. К ProgFiles так же. Если ничего не напутал, должно все работать как надо...
старайся не перекрутить гайки, а то юзер работать не сможет. Как сделаешь-зайди под юзером и проверь как все проги работают...

Цитата:

В настрокайх какой папки?

той, на которую выставляешь права...

Shaun

Цитата:

И лишь на одном к примеру диске С: ТОлько чтение для польз.данного!!!

запрет на modify на ProgFiles приведет к неработоспособности некоторых прог, которые пишут темповые файлы в эту папку или логи и работают с учетной записью залогиненного пользователя. Я как то перекрутил гайки на ProgFiles... отказался работать TheBat1.53....


aLGo

Цитата:

Наверно нужно сделать полный доступ для МОИ ДОКУМЕНТЫ и C:/MP3 C:/TEMP

смонтируй их в эту же систему как сетевые диски( net use....)
Лучше конечно перенести на другой раздел.
доступ оставь полный, пусть развлекаются...

Цитата:

расшарены папки МОИ ДОКУМЕНТЫ

перенеси, если возможно на другой раздел...расшарь там...
ссылки на них в реестре поправь...(можно твикером типа tweakUI)...конкретно ключ вспомнить что то не могу посмотри топик про реестр (по фильтру найди)...

Цитата:

А как допустим это все будет рабоать через сетевое окружение

нормально, только поубирай лишние шары...


Цитата:

еще гдето читал что можно обойти пароль администратора в ХР... как бы еще от этого защитится?

ну вряд ли твой умник настолько спец. На всякий случай переименуй учетную запись Администратор (например в Вася ) потом создай пользователя Администратор и введи его в группу users(пользователи). И создавай сложные (буквы в разном регистре+цифры +спецсимволы(типа(*)), длиной более 14 символов) пароли админа.
Очередь загрузки в bios: винт первым...

вот вкратце и все....умны головы придут-добавят, поправят коль что не так

G14
Ну пусть даст доступ полный на програмс файл!!!и все!!!! а на диск С: поставить квоту!!!!ограничение в пространтсве!!!!!!А даст доступ для сетев.окружени!!папкам какие хочет и даст доступ полный !и Все!
и расшарит канечно же!ИХ!
А на весь диск запрет зверяМ!записи !Открыть доступ токо определенным папкам!!!!ДЛя Сет.Окружения!!!Ясно дело запись в том числе! можна только чтение !безопастней так!

Добавлено
aLGo
Я так понимаю все нужно делать под логином Админ?


Ну насмешИ!Л Ясное делО!

Добавлено
aLGo
В настрокайх какой папки? УБрать общий доступ к диску С?


Зайди в папку ввойди в Tools -view- и убери галочку Исп.общ доступ....


Добавлено
aLGo
После чего появиться закладка Sequrity!!!И в ней адд юзеров с правами кому что можна!!!

Добавлено
G14

Цитата:

перенеси, если возможно на другой раздел...расшарь там...

Я знаю при помощи АД сделать можна!Через ГПО!

Shaun

Цитата:

Ну пусть даст доступ полный на програмс файл!!!

сие имхо не есть гут. нерадивый пользователь сможет удалить то что не надо.

aLGo
кстати, избавься от админских шар тоже(c$, admin$).
http://forum.ru-board.com/topic.cgi?forum=62&topic=0544#1

Shaun

Цитата:

Я знаю при помощи АД сделать можна!Через ГПО!

да , но у него workgroup

G14
дЫК Ему надо же что б в сети светились шары!!!! не для локального же юзера!!!

Добавлено

Цитата:

ЫК Ему надо же что б в сети светились шары!!!! не для локального же юзера!!!

G14
А локальный пользователь лазить думаю и удалять не будет..??Зачем ему!

Shaun

Цитата:

дЫК Ему надо же что б в сети светились шары

на Program Files ? какие надо шары он и так создаст...

Цитата:

А локальный пользователь лазить думаю и удалять не будет..??Зачем ему!

это и правда ни к чему, только на собственном опыте говорю, что удаляют (по глупости, по неосторожности, по злому умыслу и еще Бог знает по каким причинам).
Зачем всем по сети доступ к корням дисков? Есть шары с документами, музыкой и т.п. и хватит. admin$ имхо вообще ни к чему......что делать пользователям по сети в папке где установлена ОС ? пакостить ?

G14
Ну а что храниться там ПО! правильно его что пеерставить не могуТТ!Тили нельзя что л!и!Это жж те Не Папка Windows

aLGo
Я лично борюсь с такими засранцами долго и упорно, имхо проще всего один раз настроить систему на пять баллов (любые проги) и закатать образ системного раздела, а лучше системного, дистрибов, документов ну и всего , что нужно например при помощи такой вещи, как Norton GHOST. процесс восстановления идеальной системы длится не более пяти минут и по сути очень прост (хоть десять раз на день ;)).


Метод действенен всегда и на любой ОС естественно :)


Если же хочется наказать негодяя, то конечно проще всего НТФС сделать, а диски можно превратить в папки (аля Linux) на системном и запаролить насмерть.

Надеюсь мой хелп по теме. У нас примерно такая сетка...но на моей машине мне открыты права админа...но он(админ) закрыл именно на моей машине использование всх прог...которые коннектятся к login.isq.com....как это открыть????

Mechtatelnitsa

Цитата:

как это открыть????

это смотря как он закрыл поконкретнее объяснить можешь?
но все равно админ узнает и тогда закроет опять лучше и еще по голове даст больно

Ничего он не оторвёт...правда...
Он запретил на всех машинах асю ставить( босс запретил)....а вот миранда на других коннектится...а на моей нет...ни миранда ни с go.isq.comююююне логинится всё это на сайте аси....это с моей машины можно открыть или только с сервака?

Mechtatelnitsa

Цитата:

можно открыть или только с сервака?

G14

Цитата:

это смотря как он закрыл

какая у тебя ОС? Установлен ли на твоей машине файрволл?
как настроена миранда на машинах, с которых коннектится? У тебя точно так же настроена ?
Как мы сможем тебе что то объяснить, зная только что

Цитата:

У нас примерно такая сетка...но на моей машине мне открыты права админа.

мы же не телепаты...

Не поможите значит(((

Mechtatelnitsa
ххЕ!ТАК ЕСЛИ ОН ФАИРВОЛОМ ЗАКРЫТ ТТЕ КОННЕТ ! ЛИБО ПРОСТО ЗАКРЫЛ ПОРТ АСЬКИ! ТО ЗАБУДЬЬ! ПУТЬ В МИР ИНОЙ!!!!!

попробуй ( если конечно через проксю ходите) поставить тип прокси HTTPS и соответственно login srver port 443. Я сам везде аськины порты позакрывал

Добавлено
а есле по теме, я сделал следующее. Рабочего юзера - в отдельную группу - группе разрешаем доступ к системным папкам только на чтение ( тобишь устанавливать не могут - только запускать мною установленное) а полный доступ на Мои документы. В политиках хапрещаешь запуск любых исполняемых файлов ( или по маске - как удобнее) по этому пути и спокойно слушаешь матюги пользователя который на радостях натаскал мелких прог ( не требущих даже установки) а ему либо не дают записать либо недают запустить

Народ... Пожалуйста, можно чуть поподробнее...
На одном у меня уже стоит NTFS, поэтому я ковырялс я на нем... Как с другими быть, как конвертить в NTFS на переставляя винду, еще предстоит узнать... Ну так вот:
1. зашел в Панель управления / Администрирование / Управление компьютером / Локальны пользователи и группы
- создал пользователя BadUser - он у меня и будет рабочий...
- создал группу BadGroup
Далее что? Идем по порядку:
2. Как группе разрешить доступ к системным папкам только на чтение а к Мои документы и Musik полный?

ЗЫ
Хочится общими услиями, чтобы родился мануал, распечатал его и пошел в офис все сдела за 5 мин... Ну может потренировался дома предварительно... Ради этого я уже приташил домой комп и поставил н него Win ХРю...

Нету у меня фаэрвола на моей машине(((

aLGo

Цитата:

как конвертить в NTFS на переставляя винду, еще предстоит узнать

convert d: /fs:ntfs /x если диск - d:\

далее в свойствах папки отключаешь "использовать простой общий доступ"
далее для каждого контейнера (файл или папка или диск) в свойствах на закладке безопасность добавляешь группу и для нее выставляешь права
оптимально - делать для контейнера более высокого уровня ( сразу для диска - только чтение) а потом разрешать что -то конкретное (т.е. для Моих документов - хоть полный доступ)
получится - запрещено все что не разрешено явным образом

batton

Цитата:

далее в свойствах папки отключаешь "использовать простой общий доступ"

Это и выше ребята писали, но у меня уже на этом тупик
Что я делаю:
У меня комп в рабочей группе, я зашел под логиным Suser с правами администратора.
Запускаю "Проводник", жму правой кнопкой на диске С, выбиаю: Свойства, убеждаюсь, что у меня на этом разделе (диске - NTFS) далее иду во вкладку - Доступ
В ней написано:
"Для защиты компьютера от несанкционированного доступа не рекомендунтся открывать доступ к корневой папке диска.
<Если не смотря на это вы всеравно хотите открыть общий доступ к корневой папке диска, щелкните здесь>"
И все
Захожу туда: <Если не смотря на это вы всеравно хотите открыть общий доступ к корневой папке диска, щелкните здесь>
Там ерунда, я понял мне не это нужно...

несколько нето. открывай сервис>свойства папки>вид и отключи галочку использовать простой общий доступ к файлам. Как раз это и отключит это предупреждение

batton
ОК, спасиб... Получил доступ к управлению паками: добавилась вкладка Безопасность.
Тут, далее разберусь...

Теперь дальше по пунктам:


Цитата:

В политиках запрещаешь запуск любых исполняемых файлов ...

Это как?
Панель управления/ Администрирование / Локальная политика безопасности

Правельно я зашел? А далее? Что выбирать и что например прописывать?

выбираешь - политика ограниченного использования программ > создать новые политики > дополнительные параметры > прописываешь путь > ставишь запрещено

Могу ли я так выставить права в сетевом окружении , чтобы копировать (c другого компьютера) в мою расшаренную папку можно было - а вот удалять ( с другого компьютера в моей папке) ничего нельзя ?

Только не ругайтесь на меня - тему я прочел
Я так понял , что на вкладке безопасность регулируются права пользователей на одной конкретной машине - а вот права доступа через сеть -нет.

Если не сложно пожалуйста -ответьте

> в мою расшаренную папку можно было - а вот удалять
>( с другого компьютера в моей папке) ничего нельзя
папка должна находится на NTFS разделе
ставишь право на запись и чтение и никто ничего не сотрет

AlexSSS

Цитата:

ставишь право на запись и чтение и никто ничего не сотрет

Не совсем ничего. Файл, созданный пользователем, он сможет удалить. Т.к. при создании он становится его владельцем, а у владельца по умолчанию есть все права на файл. Т.е. никто не сможет удалить файлы, которые уже былы в этой папке. Но вновь скопированные - смогут удалять те, кто их копировал.
Если это тебя не устраивает, нужно отнять право удаления у специального пользователя, который называется "СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ". Но тут возникнет другой момент. Дело в том, что многие программы (Office, например) при редактировании файла создают в его папке временные файлы. Если отнять у создателя право удаления, у тебя в этой папке начнет копиться такой мусор.

не получается - можно подробнее

что конкретно нужно указать в "общий доступ и безопасность" ? чтоб человек с копьютера X копировать мог - а удалять нет в папке на компьютере Y (т.е. у меня)

Не важно каким способом (с компьютера Х или локально) человек получает доступ к файлу. Важно только его имя и к каким группам на твоем компьютере принадлежит это имя. Напиши, что у тебя перечислено в списке "Группы и пользователи" на вкладке "Безопасность" этой папки.

Цитата:

что у тебя перечислено в списке "Группы и пользователи"

там только локальные пользователи (пользователи моего компьютера)
--других пользователей локальной сети там же нет
если нажать "Добавить" на вкладке "Безопасность" (пытаюсь прописать другого пользователя Локальной сети) -ничего не происходит ...... и пользователь не добавляется
Т.е. у меня нет пользователей других компьютеров - как же я для них могу прописать права?