Как убрать права админа у пользователя, чтобы он не ругался - Безопасность

rendal1 · 13.01.2006, 16:40

Сейчас в моей сети все пользователи имеют права локального админа. Я считаю, что они им совсем ни к чему и хочу убрать. Но я уверен, что потом будет куча проблем, поэтому я хочу сделать так, чтобы они могли все, кроме правки некоторых веток реестра и остановки служб. Как это можно осуществить?

Naked · 13.01.2006, 16:48

Про ветки реестра: на каждую ветку можно установить собственные права на любого пользователя. Вот про остановку служб ничего сказать не могу...

rendal1 · 13.01.2006, 16:53

Да это и не важно. Я просто не могу понять, как отключить только это, а все остальное оставить. Можно создать, например, группу, которой можно абсолютно все, кроме, например, правки реестра.

Madness · 13.01.2006, 17:50

Глянь в локальные политики безопасности, там можно права группе выставить, может поможет.
А вообще убираешь у одного пользователя права и решаешь возникшие проблемы, далее на остальных уже можно заюзать накопившийся опыт.

anakarn · 14.01.2006, 00:34

Попробуй прогу (на английском) Shared Computer Toolkit
Она позволяет настраивать права юзеров очень гибко (к тому же не придётся шаманить с Group Policy или Registry Editor). Быть может и запрет на остановку служб будет. Хотя мне всегда казалость что обычному пользователю не дано останавливать службы, т.к. они работают с привелегиями Local System а у юзера права не столь сильные. Может ошибаюсь...

Немного инфы про прогу на русском

imhoman101 · 15.01.2006, 05:01

Автору топика.
Сам наверно понимаешь, что будучи администраторами, локальные пользователи себе могут дать какие угодно привилегии на локальном компе. Ты им отменишь доступ к веткам реестра и запуску/останову сервисов. А они возьмут, и восстановят доступ. Если захотят.

В ряде официальных мануалов и в книжках советуют пользователям давать только те привилегии, какие им непосредственно нужны, ничего лишнего.

Но вообще все от ситуации зависит, что за фирма, какая политика безопасности (в банке с тетками-бухгалтерами и программерской конторе подходы к правам пользователей разные немного имхо). Я вот, если пользователю даю права админские, то либо беру слово что он ничего не будет менять на компе серьезно, только будет ставить/удалять свои проги прикладные (иногда требуются админские права), и обо всех изменениях отчитывается передо мной. Либо в противном случае, если пользователь достаточно квалифицированный, даю ему админские права - и требую с него, чтобы он сам конфигурил и админил машину в соотвествии с требованиями моими (такие случаи в общем очень редки).

Еще вариант. Дать пользователю права суперюзера на какой-то срок, чтобы он поставил все проги какие ему нужны, и сконфигурил винду как ему удобно (если не хочешь чтобы по каждому случаю дергали тебя). А потом дать ему Power User-а, и по ходу открывать ему permissions на что нужно походу.

EnigMan · 07.03.2006, 22:50

rendal1
В общем у себя на работе я проделал такой трюк. Тётки-бухгалтера ничего не заметили. По опыту домашней машины с тремя пользователями пробдемы возникают только при установке некоторых прог и некоторых игр.
imhoman101

Цитата:

и по ходу открывать ему permissions на что нужно походу.

С этого места пожалуста по-подробнее

imhoman101 · 08.03.2006, 23:43

2 EnigMan,
С этого места пожалуста по-подробнее
==============

Касаемо того, при помощи чего менять настройки системы.
Есть замечательная штука. Microsoft Management Console (mmc.exe), в которую загружаются много snap-ins, они позволяют многов вещей менять в настройках системы, прав доступа пользователей, безопасности итд. Расписать все в одном сообщении невозможно, да и нет смысла, есть же документация + "всемирный разум", ака google :-)

EnigMan · 09.03.2006, 20:23

Да, mmc.exe - это круто
Меня больше интересует именно что такое

Цитата:

permissions

imhoman101 · 13.03.2006, 01:47

Меня больше интересует именно что такое
Цитата:
permissions
==========================

Я ничего сложного не имел в виду :-)

В самом простом случае это - права доступа к файлам и папкам.
Простой пример из жизни. Есть сканер. Ты (или пользователь) поставил софт к нему как админ. Софт требует доступа "запись" на файлы в папке C:\Program Files\Scan Software\. User-ы по умолчанию не имеют доступа по умолчанию к папке. Открываешь его.

PS А вообще, я считаю что позволять пользователям "все кроме" можно только если уверен в их компетентости и доверяешь им. Иначе - по максимуму гайки закручивать.

05.05.2006, 14:37

Всем сразу не советую. Одна программа требует доступ на запись к определенным веткам реестра. Вторая - изменение системного времени. третья - доступ на запись к десятку директорий. Берем бухгалтерию - у десятка бухгалтеров все в порядке, а у одиннадцатого - банк-клиент. Права на запуск, остановку служб - а если одна служба запускающаяся от одного пользователя попытается запустить другую, а прав нет.
Хотя, по опыту - все решаемо - мониторинг доступа к реестру, к файлам, системные журналы.

13.01.2006, 16:40	# 1
rendal1 Junior Member Регистрация: 14.12.2005 Адрес: Саратов Сообщения: 62	Как убрать права админа у пользователя, чтобы он не ругался Сейчас в моей сети все пользователи имеют права локального админа. Я считаю, что они им совсем ни к чему и хочу убрать. Но я уверен, что потом будет куча проблем, поэтому я хочу сделать так, чтобы они могли все, кроме правки некоторых веток реестра и остановки служб. Как это можно осуществить?

13.01.2006, 16:48	# 2
Naked ::VIP:: Регистрация: 15.05.2005 Адрес: Питер Сообщения: 1 194	Про ветки реестра: на каждую ветку можно установить собственные права на любого пользователя. Вот про остановку служб ничего сказать не могу... __________________ Чтобы воля стала действующим началом, тело должно быть совершенным.

13.01.2006, 17:50	# 4
Madness KpTeaM Регистрация: 31.10.2002 Адрес: Russia Пол: Male Сообщения: 3 261	Глянь в локальные политики безопасности, там можно права группе выставить, может поможет. А вообще убираешь у одного пользователя права и решаешь возникшие проблемы, далее на остальных уже можно заюзать накопившийся опыт. __________________ Над струнами вен моих Лезвия осени, Их сталь леденящая В просинь рук просится... ©Темнозорь

14.01.2006, 00:34	# 5
anakarn Banned Регистрация: 06.11.2004 Сообщения: 135	Попробуй прогу (на английском) Shared Computer Toolkit Она позволяет настраивать права юзеров очень гибко (к тому же не придётся шаманить с Group Policy или Registry Editor). Быть может и запрет на остановку служб будет. Хотя мне всегда казалость что обычному пользователю не дано останавливать службы, т.к. они работают с привелегиями Local System а у юзера права не столь сильные. Может ошибаюсь... Немного инфы про прогу на русском Последний раз редактировалось anakarn; 14.01.2006 в 00:41.

13.01.2006, 16:53	# 3
rendal1 Junior Member Регистрация: 14.12.2005 Адрес: Саратов Сообщения: 62	Да это и не важно. Я просто не могу понять, как отключить только это, а все остальное оставить. Можно создать, например, группу, которой можно абсолютно все, кроме, например, правки реестра.

15.01.2006, 05:01	# 6
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	Автору топика. Сам наверно понимаешь, что будучи администраторами, локальные пользователи себе могут дать какие угодно привилегии на локальном компе. Ты им отменишь доступ к веткам реестра и запуску/останову сервисов. А они возьмут, и восстановят доступ. Если захотят. В ряде официальных мануалов и в книжках советуют пользователям давать только те привилегии, какие им непосредственно нужны, ничего лишнего. Но вообще все от ситуации зависит, что за фирма, какая политика безопасности (в банке с тетками-бухгалтерами и программерской конторе подходы к правам пользователей разные немного имхо). Я вот, если пользователю даю права админские, то либо беру слово что он ничего не будет менять на компе серьезно, только будет ставить/удалять свои проги прикладные (иногда требуются админские права), и обо всех изменениях отчитывается передо мной. Либо в противном случае, если пользователь достаточно квалифицированный, даю ему админские права - и требую с него, чтобы он сам конфигурил и админил машину в соотвествии с требованиями моими (такие случаи в общем очень редки). Еще вариант. Дать пользователю права суперюзера на какой-то срок, чтобы он поставил все проги какие ему нужны, и сконфигурил винду как ему удобно (если не хочешь чтобы по каждому случаю дергали тебя). А потом дать ему Power User-а, и по ходу открывать ему permissions на что нужно походу.

08.03.2006, 23:43	# 8
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	2 EnigMan, С этого места пожалуста по-подробнее ============== Касаемо того, при помощи чего менять настройки системы. Есть замечательная штука. Microsoft Management Console (mmc.exe), в которую загружаются много snap-ins, они позволяют многов вещей менять в настройках системы, прав доступа пользователей, безопасности итд. Расписать все в одном сообщении невозможно, да и нет смысла, есть же документация + "всемирный разум", ака google :-)

13.03.2006, 01:47	# 10
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	Меня больше интересует именно что такое Цитата: permissions ========================== Я ничего сложного не имел в виду :-) В самом простом случае это - права доступа к файлам и папкам. Простой пример из жизни. Есть сканер. Ты (или пользователь) поставил софт к нему как админ. Софт требует доступа "запись" на файлы в папке C:\Program Files\Scan Software\. User-ы по умолчанию не имеют доступа по умолчанию к папке. Открываешь его. PS А вообще, я считаю что позволять пользователям "все кроме" можно только если уверен в их компетентости и доверяешь им. Иначе - по максимуму гайки закручивать.

05.05.2006, 14:37	# 11
qet Guest Сообщения: n/a	Всем сразу не советую. Одна программа требует доступ на запись к определенным веткам реестра. Вторая - изменение системного времени. третья - доступ на запись к десятку директорий. Берем бухгалтерию - у десятка бухгалтеров все в порядке, а у одиннадцатого - банк-клиент. Права на запуск, остановку служб - а если одна служба запускающаяся от одного пользователя попытается запустить другую, а прав нет. Хотя, по опыту - все решаемо - мониторинг доступа к реестру, к файлам, системные журналы.

Опции темы
Версия для печати Отправить на email