Господа. В сети стоит довольно много машин по WinXPSP2. Соответственно каждая из машин заведена в домен. Но, как всегда, нашлась группа "особо одаренных" пользователей которая вместо того чтобы логинится в домен, логонится в локальную раб. группу. В связи с этим,на них не разпространяются те политики, которые указаны в АД. Хотелосьбы как-нибудь запретить пользователю заходить в локальный компьютер.
» Как запретить пользователю заходить на компьютер локально.
Интересный вопрос...
А в локальной политике "Deny logon loccaly" это не оно?
А в локальной политике "Deny logon loccaly" это не оно?
Нужно проверить.....
Есть еще какие-нибудь идеи...
И вопрос в догонку.. Насколько я понимаю, локальными политиками нельзя оперировать из АД... Т.е. для распространения нужно писать вбс скрипт?
Есть еще какие-нибудь идеи...
И вопрос в догонку.. Насколько я понимаю, локальными политиками нельзя оперировать из АД... Т.е. для распространения нужно писать вбс скрипт?
Цитата:
Есть еще какие-нибудь идеи...
По хорошему надо смотреть "на натуре" и лучше на виртуальной. А то можно так закрыть что мало не покажеться.
Цитата:
для распространения нужно писать вбс скрипт?
Может и надо, а может и через Hyenu (или подобное) в реале сделать.
Весь вопрос упирается в кол-во рабочих станций.
Out
1. Отобрать права локальных администраторов.
2. Удалить все локальные учетные записи. Для тех учеток, что нужны - сменить пароль.
Out
ping
Цитата:
можно. Вот здесь собраны ссылки для ликвидации пробелов в знаниях политик:
ЗДЕСЬ.
1. Отобрать права локальных администраторов.
2. Удалить все локальные учетные записи. Для тех учеток, что нужны - сменить пароль.
Out
ping
Цитата:
Насколько я понимаю, локальными политиками нельзя оперировать из АД
можно. Вот здесь собраны ссылки для ликвидации пробелов в знаниях политик:
ЗДЕСЬ.
G14
Конечно отобрать права локальных админов - выход хороший, но невозможный, т.к. все эти люди разработчики ПО... И все мои попытки ограничить список используемого ПО и создать для него msi не увенчались успехом, т.к. всегда появляются новые версии библиотек, да и отследить все ключи, которые меняет компилятор в реестре, тоже невозможно.. Поэтому установка хитрого ПО или изменение локальной (общей политики) самый оптимальный выход... Т.к. даже обладая правами локального админа, 99,9% пользователей просто не знают что нужно сделать.. =)))
Тыкать носом в и кричать РТФМ - глупо... Если есть что сказать - то скажи и посоветуй... А не говори про ликвидацию пробелов в знаниях, ибо все нать просто невозможно.... Кстати говоря, если перейти по той самой ссылке, то там можно найти и мой топик по распрастранению VS6 через AD... Нужно ее тоже пометить как нерешенную... т.к. решения так и не было найдено....=((
P.S. Хотя за лику конечно спасибо.... =)
Конечно отобрать права локальных админов - выход хороший, но невозможный, т.к. все эти люди разработчики ПО... И все мои попытки ограничить список используемого ПО и создать для него msi не увенчались успехом, т.к. всегда появляются новые версии библиотек, да и отследить все ключи, которые меняет компилятор в реестре, тоже невозможно.. Поэтому установка хитрого ПО или изменение локальной (общей политики) самый оптимальный выход... Т.к. даже обладая правами локального админа, 99,9% пользователей просто не знают что нужно сделать.. =)))
Тыкать носом в и кричать РТФМ - глупо... Если есть что сказать - то скажи и посоветуй... А не говори про ликвидацию пробелов в знаниях, ибо все нать просто невозможно.... Кстати говоря, если перейти по той самой ссылке, то там можно найти и мой топик по распрастранению VS6 через AD... Нужно ее тоже пометить как нерешенную... т.к. решения так и не было найдено....=((
P.S. Хотя за лику конечно спасибо.... =)
Out
Цитата:
Цитата:
При такой постановке задачи ответ на твой вопрос только один - это невозможно. Пока они админы на локальной машине, они смогут делать все, что захотят с этой машиной. И единственный способ заставить логиниться под доменным аккаунтом - убеждение или приказ начальства. Все остальное локальный админ запросто обойдет.
Добавлено:
Цитата:
done
Цитата:
отобрать права локальных админов - выход хороший, но невозможный
Цитата:
Хотелосьбы как-нибудь запретить пользователю заходить в локальный компьютер.
При такой постановке задачи ответ на твой вопрос только один - это невозможно. Пока они админы на локальной машине, они смогут делать все, что захотят с этой машиной. И единственный способ заставить логиниться под доменным аккаунтом - убеждение или приказ начальства. Все остальное локальный админ запросто обойдет.
Добавлено:
Цитата:
Нужно ее тоже пометить как нерешенную..
done
Цитата:
При такой постановке задачи ответ на твой вопрос только один - это невозможно. Пока они админы на локальной машине, они смогут делать все, что захотят с этой машиной. И единственный способ заставить логиниться под доменным аккаунтом - убеждение или приказ начальства. Все остальное локальный админ запросто обойдет.
Это я прекрасно осознаю... Но как писалось выше... 99.9% юзверй просто не знаю что и для чего нужно менять в локальный групповых политиках.... Поэтому, если прибить возможность входа локально, то 99.9% пользователей станут джонится в домен... Что в принципе и нужно...
P.S. Возможно стоит создать новую тему, но вдруг... Может кто сталкивался с доками по организации GPO для разработчиков ПО ака програмеров... А то мои попытки привести все это добро в надлежащий вид, к сожалению, заканчиваются невозможностью отследить все ключи реестра и т.п. для безпроблемной разработки ПО... Так что может кто сам сталкивался или видел что-то про это, отпишитесь плз... А то как-то горестно мне...
Если нужно, что бы они были администраторами на своих машинах но при этом входили с доменной учетной записи то нужно:
1. Удалить лишниее учетные записи, а у встроенных сменить пароли. (Это было сказано выше и остается абсолютно верно).
2. На их доменные учетные записи дать права локальных (еще раз потчеркиваю, локальных) администраторов. Если таких машин немного, то лучше давать не через GPO, а конкретно на эти машины, мороки будет меньше.
И не у кого не будет необходимости использовать локальные учетные записи. У меня так программисты 1С сидят, и все довольны.
1. Удалить лишниее учетные записи, а у встроенных сменить пароли. (Это было сказано выше и остается абсолютно верно).
2. На их доменные учетные записи дать права локальных (еще раз потчеркиваю, локальных) администраторов. Если таких машин немного, то лучше давать не через GPO, а конкретно на эти машины, мороки будет меньше.
И не у кого не будет необходимости использовать локальные учетные записи. У меня так программисты 1С сидят, и все довольны.
Kostkon
Если ты не знаешь как это делает - рассказываю....
Пользователю на доменный логон, даются права локального админа... Юзверь заходит под свой учеткой в домен и создает локального пользователя, который входит в группу локальных админов... После чего работает под этой четкой.... Вопрос состоял в том, чтобы запретить этими локальными учетками логонится локально... Т.е. для длокального логона остается только одна учетка - Администратор.... Пароль которого соотвествено не известен... Создавать повторно пользователя отличного от прежнего, большинство юзверей просто не станут.... А соответственно проблема на 99% будет решена...
Если ты не знаешь как это делает - рассказываю....
Пользователю на доменный логон, даются права локального админа... Юзверь заходит под свой учеткой в домен и создает локального пользователя, который входит в группу локальных админов... После чего работает под этой четкой.... Вопрос состоял в том, чтобы запретить этими локальными учетками логонится локально... Т.е. для длокального логона остается только одна учетка - Администратор.... Пароль которого соотвествено не известен... Создавать повторно пользователя отличного от прежнего, большинство юзверей просто не станут.... А соответственно проблема на 99% будет решена...
Цитата:
Поэтому, если прибить возможность входа локально, то 99.9% пользователей станут джонится в домен... Что в принципе и нужно...
Цитата:
Создавать повторно пользователя отличного от прежнего, большинство юзверей просто не станут....
Сомнительно конечно...Но в такой постановке вопроса можно попробовать вывести все нужные компьютеры в отдельное OU и к этому OU прикрутить GPO, в котором будет определен параметр computer configuration\windows settings\security settings\local policies\user rights assignment\log on locally в котором явно прописать только Administrator (отдельный логин, а не группу) и группы доменных пользователей. Удалив оттуда локальные группы. Попробуй сначала на одном компе.
G14
Возникла одна проблема при установке разрешений... Т.е. через ГПО все раздаю и все ок... Но на машинах, в локальных политиках, те пользователи которым разрешено (или запрещено) видятся как DAMAIN/User_Name, а не ИМЯ_КОМПЬЮТЕРА/User_Name... Соотвественно юзер, который находится в локальных админах и обладает именем ИМЯ_КОМПЬЮТЕРА/User_Name абсолютно спокойно продолжает заходить локально... Причем в ГПО имя пользователя видно как User_name, т.е. без указания кому конкретно этот User_Name пренадлежит... Мож кто знает как пофиксить багу??? Т.е. я предпологаю что сучществует переменная, которая автоматом укажет где что и как... Типа день - %d и т.п.
P.S. Попутно возникла еще одна мысль... Возможно ли организовать локальную группу, которая сможет все кроме добавления юзверей, изменения пароля лок. админа и т.п.
ДОБАВЛЮ....
Если не добавлять все групп DOMAIN/Administrators, то GPO не дает применить правило.... =( Т.е. нужно в разрешении всю группу добавлять, а это, как ты сам понимаешь, не сработает =(
Возникла одна проблема при установке разрешений... Т.е. через ГПО все раздаю и все ок... Но на машинах, в локальных политиках, те пользователи которым разрешено (или запрещено) видятся как DAMAIN/User_Name, а не ИМЯ_КОМПЬЮТЕРА/User_Name... Соотвественно юзер, который находится в локальных админах и обладает именем ИМЯ_КОМПЬЮТЕРА/User_Name абсолютно спокойно продолжает заходить локально... Причем в ГПО имя пользователя видно как User_name, т.е. без указания кому конкретно этот User_Name пренадлежит... Мож кто знает как пофиксить багу??? Т.е. я предпологаю что сучществует переменная, которая автоматом укажет где что и как... Типа день - %d и т.п.
P.S. Попутно возникла еще одна мысль... Возможно ли организовать локальную группу, которая сможет все кроме добавления юзверей, изменения пароля лок. админа и т.п.
ДОБАВЛЮ....
Если не добавлять все групп DOMAIN/Administrators, то GPO не дает применить правило.... =( Т.е. нужно в разрешении всю группу добавлять, а это, как ты сам понимаешь, не сработает =(
Out
Цитата:
Цитата:
Возможно ли организовать локальную группу, которая сможет все кроме добавления юзверей, изменения пароля лок. админа и т.п.- хм, Power Users ? К тому же большинство программ под пользователем из этой группы запускаются и прекрасно работают...
nickloayev
Цитата:
Хех... Повер Юзер это хорошо, но в определенные случае, компиляция обрывается с сообщнием, что аксес денай... =(
all
Ну так что насчет переменной?....
Цитата:
- хм, Power Users ? К тому же большинство программ под пользователем из этой группы запускаются и прекрасно работают..
Хех... Повер Юзер это хорошо, но в определенные случае, компиляция обрывается с сообщнием, что аксес денай... =(
all
Ну так что насчет переменной?....
У нас пара компьютерных классов, где занимаются только программисты. Все работают под правами обычных пользователей. Если влом настраивать, то не надо требовать от народа невозможного. Как уже было сказано локальный администратор компьютера может сделать с ним все, что угодно. Точка.
Als
Хех... Ну не знаю что у вас за програмеры конечно.... Мне даже интересно, как под правами обычных пользователей они тавят новые версии рабочих библиотек, производят обновление с CVS и занимаются компиляцией межплатформенных приложений... Или ты за програмеров считаешщь студентов 1-го курса института?? гыгы
А когда помимо VS используюется еще вагон и маленькая телега софта, то что-либо ограничить становится крайне сложно....
Именно поэтому приходится ихобретать велосипед...
P.S. Не думаю что в том же Микрософте, разработчики сидят под правами локальных админов или просто юзверей....
Хех... Ну не знаю что у вас за програмеры конечно.... Мне даже интересно, как под правами обычных пользователей они тавят новые версии рабочих библиотек, производят обновление с CVS и занимаются компиляцией межплатформенных приложений... Или ты за програмеров считаешщь студентов 1-го курса института?? гыгы
А когда помимо VS используюется еще вагон и маленькая телега софта, то что-либо ограничить становится крайне сложно....
Именно поэтому приходится ихобретать велосипед...
P.S. Не думаю что в том же Микрософте, разработчики сидят под правами локальных админов или просто юзверей....
1) Новые версии библиотек можно временно копировать в каталог с проектом. В этом случае система использует dll из каталога с проектом. Ну а потом уже администратор может скопировать и установить библиотеки в System32. Обратите внимание, что можно этого и не делать.
Далее, в средах разработки есть такой термин как путь до библиотек. Если в него сначала включить каталог пользователя, а уже потом системные, то и пути до различных .lib и .h будут сначала искаться в каталоге пользователя. Таким образом проблема с новыми версиями библиотек вроде как решаема.
2) Первый раз слышу, что для работы CVS нужны права админа.
3) Смотря на чем вы компилируете и с помощью чего проверяете межплатформенное ПО. Тот же VMWare прекрасно работает с правами пользователя (у него даже для этого предусмотрен спец. сервис).
P.S. Не думаю, что вы работаете в Микрософте...
Далее, в средах разработки есть такой термин как путь до библиотек. Если в него сначала включить каталог пользователя, а уже потом системные, то и пути до различных .lib и .h будут сначала искаться в каталоге пользователя. Таким образом проблема с новыми версиями библиотек вроде как решаема.
2) Первый раз слышу, что для работы CVS нужны права админа.
3) Смотря на чем вы компилируете и с помощью чего проверяете межплатформенное ПО. Тот же VMWare прекрасно работает с правами пользователя (у него даже для этого предусмотрен спец. сервис).
P.S. Не думаю, что вы работаете в Микрософте...
Als
Хех....
Нет осбого желания объяснять как все у нас работает.... К сожалению метод повер-юзеров не работает =((( Это, так сказать, факт....
Есть желание найти какой-то хитрый выход из сложившейся ситуации....
Вот возник вопрос, как описать пользователя в Deny рулисе... Ситуевина с добовлением в тупую, результат не принесла... Т.к. В лок. политbке он прописывается как DOMAIN\User, а не как Имя_машины\User.... А домавить ТОЛЬКО Administrator в правило Allow тож не получается... =(
P.S. И слава богу что мы там не работаем =)))
Хех....
Нет осбого желания объяснять как все у нас работает.... К сожалению метод повер-юзеров не работает =((( Это, так сказать, факт....
Есть желание найти какой-то хитрый выход из сложившейся ситуации....
Вот возник вопрос, как описать пользователя в Deny рулисе... Ситуевина с добовлением в тупую, результат не принесла... Т.к. В лок. политbке он прописывается как DOMAIN\User, а не как Имя_машины\User.... А домавить ТОЛЬКО Administrator в правило Allow тож не получается... =(
P.S. И слава богу что мы там не работаем =)))
Если нужно простое решение, то делаем так. Ты же также обладаешь правами доменного администратора. Пишешь скрипт, который два раза в сутки, лучше всего днем и вечером, удаляет все локальные записи пользователей, кроме администратора и служебных. В результате всем просто надоест пересоздавать заново учетные записи. Этот пособ отсекёт 99% пользователей. А с 1% прийдется разбираться административными мерами.
Цитата:
А с 1% прийдется разбираться административными мерами.
политика партии - за неоднократные нарушения штраф.
А потом второй скрипт, который оценивает куда залогинился юзер - в домен или локально. Выполнять раз в 10 мин, а потом лог - начальникам отделов, диекторам и т.п.
PS Для полноты комплекса мер - можно принудительно выполнять логофф пользователей залогиненых локально.
locky
Скрипт в студию плз.....
Скрипт в студию плз.....
Люди, а просто запретить через ГПО создание локальных пользователей - это не наш метод??????? У меня в салоне игровом были все амдины (игры требуют), но они там даже чихнуть не могли.....
FreemanRU
Как запретить создание локального пользователя, если юзера локальные админы??? =)
Идея со скриптом единствено благоразумная....
Как запретить создание локального пользователя, если юзера локальные админы??? =)
Идея со скриптом единствено благоразумная....
Out
Все тебе не так, все тебе не эдак... ты проверь сначала, а потом уж говори... а потом, было бы желание можно ограничить всех и вся. файл монитор и монитор реестра никто не отменял чтоб для специфичного софта расставить права пользователям нужные на файлы/папки и реестр. ну а ежели тебе лень подумать и воспользоваться чужим советом, то звиняй, не быть тебе админом.
Все тебе не так, все тебе не эдак... ты проверь сначала, а потом уж говори... а потом, было бы желание можно ограничить всех и вся. файл монитор и монитор реестра никто не отменял чтоб для специфичного софта расставить права пользователям нужные на файлы/папки и реестр. ну а ежели тебе лень подумать и воспользоваться чужим советом, то звиняй, не быть тебе админом.
Raredemon
Я что-то тебя не совсем понимаю.... Если юзверям не хватает прав "Power User", это совсем не означает, что мне нужно метнуться, и выдумывать как обойти специфичное ПО, т.к. установка любого "хитрого" ПО приведет к тому, что до тех пор пока я не разберусь с тем, как разрешить пользователю его ставить, он его не будет использовать.... Таким образом, я буду тормозить процесс разработки... Меня за это никто по-головке не погладит..... И дело не в том, что мне так сложно сидеть и бадаться, а дело в том, что я ОЧЕНЬ сильно буду вмешиваться в процесс разработки чего быть ИМХО не должно. Работа администратора, должна быть прозрачна для конечного пользователя. Если они привыкли быть локальными админами - пусть будут. Именно поэтому, ИМХО, скрип будет уневерсальным решением. Т.е. как только пользователь попробует зайти локально - он получит logoff... И это решит данную проблему...
P.S. Я пытаюсь найти не такое решение, чтобы оно было универсально, а не идти на конфронтацию с юзерами... Вот и все... Не надо обвинять меня в том, что мне что-то делать лень =)
Я что-то тебя не совсем понимаю.... Если юзверям не хватает прав "Power User", это совсем не означает, что мне нужно метнуться, и выдумывать как обойти специфичное ПО, т.к. установка любого "хитрого" ПО приведет к тому, что до тех пор пока я не разберусь с тем, как разрешить пользователю его ставить, он его не будет использовать.... Таким образом, я буду тормозить процесс разработки... Меня за это никто по-головке не погладит..... И дело не в том, что мне так сложно сидеть и бадаться, а дело в том, что я ОЧЕНЬ сильно буду вмешиваться в процесс разработки чего быть ИМХО не должно. Работа администратора, должна быть прозрачна для конечного пользователя. Если они привыкли быть локальными админами - пусть будут. Именно поэтому, ИМХО, скрип будет уневерсальным решением. Т.е. как только пользователь попробует зайти локально - он получит logoff... И это решит данную проблему...
P.S. Я пытаюсь найти не такое решение, чтобы оно было универсально, а не идти на конфронтацию с юзерами... Вот и все... Не надо обвинять меня в том, что мне что-то делать лень =)
Out
Цитата:
if %LOGONSERVER%==\\%COMPUTERNAME% logoff /f
Только сделай так, чтобы этот логон-скрипт не выполнялся на контроллерах домена. А то не сможешь на них залогиниться
Цитата:
Скрипт в студию плз.....
if %LOGONSERVER%==\\%COMPUTERNAME% logoff /f
Только сделай так, чтобы этот логон-скрипт не выполнялся на контроллерах домена. А то не сможешь на них залогиниться
Alan Mon
Хехе.... Пасиб.... =)))
Цитата:
Это понятно =)
Хехе.... Пасиб.... =)))
Цитата:
Только сделай так, чтобы этот логон-скрипт не выполнялся на контроллерах домена. А то не сможешь на них залогиниться
Это понятно =)
Out
Цитата:
Ну если у вас в конторе привыкли, что админ должен под все желания юзеров прогибаться, а такие слова типа информационная безопасность, разграничение полномочий и т.д. придумали трусы - то нехай оно так и будет.
Я бы таких пользователей просто бы поубивал, нахватаются всякой вирусной дряни под админом в инете, понаставят левого (а как правило кривого) софта и потом бегут по привычке к админу - помоги мол... а ты наверное уже привык системы каждый месяц переставлять, если собственное время не бережешь и все возможные угрозы не предупреждаешь. Админ должен быть один, а юзеры должны быть юзерами. Иначе просто подпадаешь под фразу Билла Гейтса: если за вашим компьютером сидит посторонний человек, то вы не хозяин этого компьютера (за дословность не ручаюсь).
Кстати, для того чтобы комп был в домене, но на него не применялись доменные политики достаточно (если не ошибаюсь) всего один ключ в реестре исправить, и админ может это сделать. и что будет тогда с твоим скриптом? он просто не будет выполнятся.
Цитата:
Если они привыкли быть локальными админами - пусть будут
Ну если у вас в конторе привыкли, что админ должен под все желания юзеров прогибаться, а такие слова типа информационная безопасность, разграничение полномочий и т.д. придумали трусы - то нехай оно так и будет.
Я бы таких пользователей просто бы поубивал, нахватаются всякой вирусной дряни под админом в инете, понаставят левого (а как правило кривого) софта и потом бегут по привычке к админу - помоги мол... а ты наверное уже привык системы каждый месяц переставлять, если собственное время не бережешь и все возможные угрозы не предупреждаешь. Админ должен быть один, а юзеры должны быть юзерами. Иначе просто подпадаешь под фразу Билла Гейтса: если за вашим компьютером сидит посторонний человек, то вы не хозяин этого компьютера (за дословность не ручаюсь).
Кстати, для того чтобы комп был в домене, но на него не применялись доменные политики достаточно (если не ошибаюсь) всего один ключ в реестре исправить, и админ может это сделать. и что будет тогда с твоим скриптом? он просто не будет выполнятся.
Raredemon
Цитата:
а подробнее?
Программистам правда иногда проще дать прав и порезать эти права через ГПО, чем создавать политики по разрешению отладки процессов и пр. ерунды.
Out
1. Запретить использование консоли mmc, как вариант, или определнных её остнасток.
2. Запретить использование консоли как таковой.
3. Запретить определнные команд (н-р net)
4. Запретить доступ к WMI.
Поторяю, через ГПО можно сделать ВСЁ даже если человек админ на машине.
Цитата:
Кстати, для того чтобы комп был в домене, но на него не применялись доменные политики достаточно (если не ошибаюсь) всего один ключ в реестре исправить
а подробнее?
Программистам правда иногда проще дать прав и порезать эти права через ГПО, чем создавать политики по разрешению отладки процессов и пр. ерунды.
Out
1. Запретить использование консоли mmc, как вариант, или определнных её остнасток.
2. Запретить использование консоли как таковой.
3. Запретить определнные команд (н-р net)
4. Запретить доступ к WMI.
Поторяю, через ГПО можно сделать ВСЁ даже если человек админ на машине.
FreemanRU
Все что ты написал уже запрещено... +))
Raredemon
Это не прогибание под кого-то.... и не потря моего времени... Системы я не переставляю вообще (на это есть сапорт - специально обученные белки-) =) Да и по-отчетам, они не так часто это делают... С вирусами бороться довольно просто - корпоративный антивирус.... Запрет на локальный вход делается лишь для того, чтобы объекты которые я раздаю через AD, были у всех и ненужно было подходить к особо одаренным... =))) Все это делается для упрощения их жизни а не моей...
И еще... из всех моих знакомых, у кого контора занимается разработкой ПО, всего 2-3 человека, недают разработчикам права локального админа. И то - это делается в тех случаях, когда програмеры юзают заранее оговоренный софт. Во всех остальных случаях - это локальные админы, т.к. невозможно каждый раз проверять, менять права юзверя, когда он захочет установить ту или иную программу (я не говорю про игры и т.п. у нас, к счастью, этого нет). Короче, беседа на эту тему, напоминуют разговоры о влиянии лунного света на рельсы....
Все что ты написал уже запрещено... +))
Raredemon
Это не прогибание под кого-то.... и не потря моего времени... Системы я не переставляю вообще (на это есть сапорт - специально обученные белки-) =) Да и по-отчетам, они не так часто это делают... С вирусами бороться довольно просто - корпоративный антивирус.... Запрет на локальный вход делается лишь для того, чтобы объекты которые я раздаю через AD, были у всех и ненужно было подходить к особо одаренным... =))) Все это делается для упрощения их жизни а не моей...
И еще... из всех моих знакомых, у кого контора занимается разработкой ПО, всего 2-3 человека, недают разработчикам права локального админа. И то - это делается в тех случаях, когда програмеры юзают заранее оговоренный софт. Во всех остальных случаях - это локальные админы, т.к. невозможно каждый раз проверять, менять права юзверя, когда он захочет установить ту или иную программу (я не говорю про игры и т.п. у нас, к счастью, этого нет). Короче, беседа на эту тему, напоминуют разговоры о влиянии лунного света на рельсы....
Предыдущая тема: Вылетает 1С при печати в win 2003 TS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.