IMHO.WS - Как убрать права админа у пользователя, чтобы он не ругался

IMHO.WS (http://www.imho.ws/index.php)

- Безопасность (http://www.imho.ws/forumdisplay.php?f=19)

Как убрать права админа у пользователя, чтобы он не ругался

Сейчас в моей сети все пользователи имеют права локального админа. Я считаю, что они им совсем ни к чему и хочу убрать. Но я уверен, что потом будет куча проблем, поэтому я хочу сделать так, чтобы они могли все, кроме правки некоторых веток реестра и остановки служб. Как это можно осуществить?

Про ветки реестра: на каждую ветку можно установить собственные права на любого пользователя. Вот про остановку служб ничего сказать не могу... :idontnow:

Да это и не важно. Я просто не могу понять, как отключить только это, а все остальное оставить. Можно создать, например, группу, которой можно абсолютно все, кроме, например, правки реестра.

Глянь в локальные политики безопасности, там можно права группе выставить, может поможет.
А вообще убираешь у одного пользователя права и решаешь возникшие проблемы, далее на остальных уже можно заюзать накопившийся опыт.

Попробуй прогу (на английском) Shared Computer Toolkit
Она позволяет настраивать права юзеров очень гибко (к тому же не придётся шаманить с Group Policy или Registry Editor). Быть может и запрет на остановку служб будет. Хотя мне всегда казалость что обычному пользователю не дано останавливать службы, т.к. они работают с привелегиями Local System а у юзера права не столь сильные. Может ошибаюсь... :rolleyes:

Немного инфы про прогу на русском

Автору топика.
Сам наверно понимаешь, что будучи администраторами, локальные пользователи себе могут дать какие угодно привилегии на локальном компе. Ты им отменишь доступ к веткам реестра и запуску/останову сервисов. А они возьмут, и восстановят доступ. Если захотят.

В ряде официальных мануалов и в книжках советуют пользователям давать только те привилегии, какие им непосредственно нужны, ничего лишнего.

Но вообще все от ситуации зависит, что за фирма, какая политика безопасности (в банке с тетками-бухгалтерами и программерской конторе подходы к правам пользователей разные немного имхо). Я вот, если пользователю даю права админские, то либо беру слово что он ничего не будет менять на компе серьезно, только будет ставить/удалять свои проги прикладные (иногда требуются админские права), и обо всех изменениях отчитывается передо мной. Либо в противном случае, если пользователь достаточно квалифицированный, даю ему админские права - и требую с него, чтобы он сам конфигурил и админил машину в соотвествии с требованиями моими (такие случаи в общем очень редки).

Еще вариант. Дать пользователю права суперюзера на какой-то срок, чтобы он поставил все проги какие ему нужны, и сконфигурил винду как ему удобно (если не хочешь чтобы по каждому случаю дергали тебя). А потом дать ему Power User-а, и по ходу открывать ему permissions на что нужно походу.

rendal1
В общем у себя на работе я проделал такой трюк. Тётки-бухгалтера ничего не заметили. По опыту домашней машины с тремя пользователями пробдемы возникают только при установке некоторых прог и некоторых игр.
imhoman101

Цитата:

и по ходу открывать ему permissions на что нужно походу.

С этого места пожалуста по-подробнее

2 EnigMan,
С этого места пожалуста по-подробнее
==============

Касаемо того, при помощи чего менять настройки системы.
Есть замечательная штука. Microsoft Management Console (mmc.exe), в которую загружаются много snap-ins, они позволяют многов вещей менять в настройках системы, прав доступа пользователей, безопасности итд. Расписать все в одном сообщении невозможно, да и нет смысла, есть же документация + "всемирный разум", ака google :-)

Да, mmc.exe - это круто
Меня больше интересует именно что такое

Цитата:

permissions

Меня больше интересует именно что такое
Цитата:
permissions
==========================

Я ничего сложного не имел в виду :-)

В самом простом случае это - права доступа к файлам и папкам.
Простой пример из жизни. Есть сканер. Ты (или пользователь) поставил софт к нему как админ. Софт требует доступа "запись" на файлы в папке C:\Program Files\Scan Software\. User-ы по умолчанию не имеют доступа по умолчанию к папке. Открываешь его.

PS А вообще, я считаю что позволять пользователям "все кроме" можно только если уверен в их компетентости и доверяешь им. Иначе - по максимуму гайки закручивать.

Всем сразу не советую. Одна программа требует доступ на запись к определенным веткам реестра. Вторая - изменение системного времени. третья - доступ на запись к десятку директорий. Берем бухгалтерию - у десятка бухгалтеров все в порядке, а у одиннадцатого - банк-клиент. Права на запуск, остановку служб - а если одна служба запускающаяся от одного пользователя попытается запустить другую, а прав нет.
Хотя, по опыту - все решаемо - мониторинг доступа к реестру, к файлам, системные журналы.