imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Программы и Операционные системы > Операционные системы M$
Опции темы
Старый 06.06.2006, 22:34     # 81
coolchevy
Junior Member
 
Регистрация: 05.02.2006
Сообщения: 72

coolchevy Нуль без палочки
Naked, я так и делаю, но получаю ответ мол данное действие запрещено локальной политикой, если логинюсь в сафе мод то все гуд.

Проблема не в том как залогинится, а как отключить эту защиту или проверку, или как еще ее там назвать...
coolchevy вне форума  
Старый 06.06.2006, 22:54     # 82
Plague
Administrator
 
Аватар для Plague
 
Регистрация: 06.05.2003
Адрес: Московская Подводная Лодка
Пол: Male
Сообщения: 12 042

Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
Plague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague ДемиургPlague Демиург
не понял, что и под админом ругается чтоль?
__________________
все "спасибы" - в приват и в репутацию! не засоряйте форум!!!!
~~~~~~~~~~~~~~~~~~~~~~

The time has come it is quite clear, our antichrist is almost already here.
M.M.
Plague вне форума  
Старый 07.06.2006, 02:17     # 83
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 418

Borland - Гад и сволочь
coolchevy
http://windowsxp.mvps.org/admins.htm
Цитата:
In Windows XP Home Edition, you can login as built-in Administrator in Safe Mode only. For XP Professional, press CTRL + ALT + DEL twice at the Welcome Screen and input your Administrator password in the classic logon window that appears.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 07.06.2006, 04:49     # 84
imhoman101
Member
 
Аватар для imhoman101
 
Регистрация: 18.11.2005
Сообщения: 254

imhoman101 Реально крут(а)imhoman101 Реально крут(а)imhoman101 Реально крут(а)imhoman101 Реально крут(а)
>Проблема не в том как залогинится, а как отключить эту защиту или проверку, или >как еще ее там назвать...

Помнитца мне, что в приложении mmc (Microsoft Management Console), есть Snap-In подключаемый, при помощи которого можно восстановить все эти установки безопасности в уровень по умолчанию, который был у операционки при установке.

Какой именно Snap-In за это отвечает, и на какой конкретно уровень надо все установки поставить (который считается как раз по умолчанию) уже не помню, на MCSE еще не сдавал экзамен 70-270, вот буду готовиться - тогда и вспомню и прочитаю еще раз :-)

PS Ну и попробуй самое простое - в Local Security Policy глянть, какие у тебя настройки в полях - Deny Logon Locally итп

Последний раз редактировалось imhoman101; 07.06.2006 в 04:52.
imhoman101 вне форума  
Старый 07.06.2006, 10:39     # 85
coolchevy
Junior Member
 
Регистрация: 05.02.2006
Сообщения: 72

coolchevy Нуль без палочки
imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Borland, да, спасибо, вот еще нашел:
Цитата:
После завершения установки вы можете пользоваться учетной записью администратора только в безопасном режиме. При использовании учетной записи администратора для входа в систему в обычном режиме может появиться следующее сообщение об ошибке:
Вход в систему невозможен из-за ограничений для учетной записи
Возникновение этой проблемы связано с тем, что учетная запись администратора резервируется для использования в безопасном режиме, когда учетная запись владельца недоступна.
Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109
Может кто знает где в реестре можно это ручками побороть? Очень нужно
coolchevy вне форума  
Старый 09.06.2006, 07:30     # 86
imhoman101
Member
 
Аватар для imhoman101
 
Регистрация: 18.11.2005
Сообщения: 254

imhoman101 Реально крут(а)imhoman101 Реально крут(а)imhoman101 Реально крут(а)imhoman101 Реально крут(а)
Цитата:
imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?
Start -> Settings -> Control Panel -> Administrative Tools -> Local Security Policy
И там уже смотришь ветку Local Policies: User Rights Assignment & Security Options.

Цитата:
Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109
Ну так это не баг, это фича, судя по написанному по ссылке :-)
Так что мешает создать еще одного пользователя и дать ему админские права и этим пользователем логиниться, вместо встроенного в систему Administrator'а ?
imhoman101 вне форума  
Старый 09.06.2006, 10:03     # 87
KomatoZo
::VIP::
 
Аватар для KomatoZo
 
Регистрация: 14.05.2005
Сообщения: 939

KomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собой
Насчет политик даже отвечать не буду - съэкономили, теперь сами разбирайтесь =)
А насчет админа - в home самый простой способ до него добраться это два раза нажать в экране приветствия "три болта ".
__________________
"Поживем - увидим" - сказал слепой, больной СПИДом...
Телепаты в отпуске. Все поголовно. Навсегда.
И кому я что должен - всем простил.
KomatoZo вне форума  
Старый 27.11.2006, 18:23     # 88
pazdak
Advanced Member
 
Регистрация: 21.06.2004
Сообщения: 403

pazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэй
Права на ветку реестра CURRENT_USER через Групповую политику?

Помогите решить Маленькую проблемку, но доставляющую головную боль.
Прошу прощения, если тема уже поднималась, но ответа я на нее нигде не нашел...

Windows 2003 AD
Клиенты Windows 2000/XP

Нужно с помощью групповой политики раздать полные права ВСЕМ пользователям компании на следующую ветку реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem]

При помощи шаблона: Computer Config->Windows Setting->Registry этого не получается сделать, наверное потому, что Computer Config не знает про HKEY_CURRENT_USER

Отсюда собственно вопрос, как для этой ветки, пользователям можно дать права при помощи GPO или может быть (VBS) скрипт какой использовать для этих целей?
Очень нужен Ваш совет...
__________________
Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите
pazdak вне форума  
Старый 27.11.2006, 18:34     # 89
KomatoZo
::VIP::
 
Аватар для KomatoZo
 
Регистрация: 14.05.2005
Сообщения: 939

KomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собой
А у каждого пользователя и так Full Control на эту ветку, так что непонятно, что Вам нужно.
__________________
"Поживем - увидим" - сказал слепой, больной СПИДом...
Телепаты в отпуске. Все поголовно. Навсегда.
И кому я что должен - всем простил.
KomatoZo вне форума  
Старый 27.11.2006, 19:16     # 90
pazdak
Advanced Member
 
Регистрация: 21.06.2004
Сообщения: 403

pazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэй
KomatoZo
Прошу прощенья, что сразу не написал, ибо ветка:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
по умолчанию имеет права Read для обычного пользователя, а нужно Full Control. Если не верите, то можете проверить...
Собственно вопрос остается открытым...
__________________
Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите
pazdak вне форума  
Старый 27.11.2006, 19:48     # 91
KomatoZo
::VIP::
 
Аватар для KomatoZo
 
Регистрация: 14.05.2005
Сообщения: 939

KomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собой
Виноват, обознался. Честно говоря, задача не из тривиальных. Потому что если пользователь не имеет на ветку прав, то изменить их не может. А у Администратора, как и у каждого пользователя - своя ветка current_user. Сразу видится только один путь: дать пользователям права администратора, скриптом выставить права на ветку, отобрать права администратора. Могу ошибаться.
__________________
"Поживем - увидим" - сказал слепой, больной СПИДом...
Телепаты в отпуске. Все поголовно. Навсегда.
И кому я что должен - всем простил.
KomatoZo вне форума  
Старый 28.11.2006, 11:38     # 92
pazdak
Advanced Member
 
Регистрация: 21.06.2004
Сообщения: 403

pazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэй
KomatoZo
Это наверное единственный выход из сложившейся ситуации, но как все сделать автоматически, через скрипт:
1) Дать права администратора пользователю (нужна как минимум перерегистрация), может быть через runas запустить другой скрипт для 1) и 3)
2) Назначить права на ветку реестра
3) Забрать права администратора у пользователя (нужна как минимум перерегистрация)

Все это хотелось бы сделать именно автоматически через скрипт.
__________________
Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите
pazdak вне форума  
Старый 28.11.2006, 11:44     # 93
KomatoZo
::VIP::
 
Аватар для KomatoZo
 
Регистрация: 14.05.2005
Сообщения: 939

KomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собойKomatoZo Имеются все основания чтобы гордиться собой
Ммм... Криво, но, может быть так:
Создаем скрипт, который запускается при стартапе и:
1) делает пользователя членом группы Администраторы, пишет в какой-нибудь файлик... Ну, скажем, "1", делает юзеру принудительный logof
2) При повторной загрузке смотрит, есть ли единичка, если есть, то выставляем нужные полномочия, выключаем пользователя из админов, пишем "2"
3) Смотрит, есть ли двойка, если есть, то просто отключается.
Коряво и неприятно, но все-таки...
__________________
"Поживем - увидим" - сказал слепой, больной СПИДом...
Телепаты в отпуске. Все поголовно. Навсегда.
И кому я что должен - всем простил.
KomatoZo вне форума  
Старый 01.12.2006, 05:29     # 94
Ascetic
Отшельник
 
Аватар для Ascetic
 
Регистрация: 14.01.2005
Адрес: 1637м. Байкал
Пол: Male
Сообщения: 630

Ascetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собойAscetic Имеются все основания чтобы гордиться собой
Может поможет:

Цитата:
Содержащаяся в наборах Microsoft Windows 2000 Server Resource Kit и Microsoft Widows NT Server 4.0 Resource Kit утилита Subinacl – это один из самых мощных и полезных инструментов командной строки, который позволяет непосредственно редактировать практически любую информацию, относящуюся к сфере безопасности – разрешения, принадлежность, аудит – для всех типов объектов. С помощью Subinacl можно изменять эту информацию не только для файлов, папок и сетевых принтеров, но и управлять разрешениями в разделах реестра, системных службах и метабазе IIS.
_http://www.server.md/articles/153/

UPD:

subinacl.exe /outputlog=policies.log /keyreg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /grant=domain\user=F

Проверено. Работает.

Последний раз редактировалось Ascetic; 01.12.2006 в 09:31.
Ascetic вне форума  
Старый 04.12.2006, 10:22     # 95
pazdak
Advanced Member
 
Регистрация: 21.06.2004
Сообщения: 403

pazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэйpazdak Сэнсэй
Ascetic
Спасибо конечно, но вопрос стоял не каким средством назначить права на ветку, а как дать эти права пользователю не имеющему прав лок. админа ИБО без этих прав команда subinacl.exe бесполезна !!!

Поэтому, пока единственно верный вариант для этой задачи именно тот который обсуждался с KomatoZo.

Хотя есть еще один, реализуемый при помощи команды RegIni, но тут есть масса ограничений, начиная от того, что нужно дать права только конкретному пользователю и заканчивая тем, что иногда домашняя папка пользователя называется не по имени пользователя, например после переименовая аккаунта.

Но в принципе задача решена на 99%, сейчас тестируется и отлаживается.
Цитата:
'******************************************************
'Краткое описание скрипта:
' Назначить ACL = Full Control(FC) для ветки реестра HKEY_CURRENT_USER.
' По умолчанию любой пользователь не входящий в группу лок. админов
' не имеет прав FC для ветки HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
' встала задача автоматически раздать пользователям права на эту ветку.
' Как работает: (для текущего пользователя)
'...1) Проверяется, а есть ли вообще доступ к этой ветке? Если нет, то считаем, что такой ветки нет и на выход
'...2) Проверяется есть ли права на создание в этой ветке новых элементов? Если да и нет во временной папке (TEMP) флаг-файла, то на выход
'...3) Проверяем принадлежность пользователя к группе лок. админов, ибо только являясь лок. админом пользователь сможет поменять права на ветку в разделе HKCU
'...4) Если пользователь не лок. админ, то добавляем его туда через runas и создаем временный файл, чтобы потом отобрать это право у него при наличии этого файла. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с правами админа
'...5) Назначаем права на ветку реестра используя SetACL.exe (стороняя) и если пользователь ранее не был админом, то удаляем его из этой группы и удаляем временный флаг-файл. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с обычными правами
'******************************************************
__________________
Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите
pazdak вне форума  
Старый 26.01.2007, 20:31     # 96
Джонович
Junior Member
 
Регистрация: 27.04.2005
Сообщения: 109

Джонович МолодецДжонович МолодецДжонович Молодец
WinXP SP2 RUS. Не могу поменять политику паролей! Help me!

Захожу под Администратором, вижу политики, но изменить не могу! Что это может быть и как с этим бороться? Поискал здесь на форуме и в инете, ничего об ентом не нашел... Help!
Джонович вне форума  
Старый 26.01.2007, 22:09     # 97
Джонович
Junior Member
 
Регистрация: 27.04.2005
Сообщения: 109

Джонович МолодецДжонович МолодецДжонович Молодец
Выяснил (опытным путем), что при создании второго пользователя, который подключается к домену, с доменного контроллера копируются все "настройки" для данного пользователя... Как это отключить? Как сделать чтобы при подключении к домену и создании новой учетной записи не коцались стандартные установки винды по умолчанию? Помогите, винду надо срочно запустить на горе-компе!
Джонович вне форума  
Старый 26.01.2007, 23:01     # 98
gluon
Junior Member
 
Регистрация: 09.02.2006
Сообщения: 71

gluon Известность не заставит себя ждать
в курсе, что если комп входит в домен к нему применяется политика домена, если политика (например, одна из политик паролей) определена на уровне домена она перекрывает локальную политику и локальный админ результирующую политику изменить не может ?

Последний раз редактировалось gluon; 26.01.2007 в 23:05.
gluon вне форума  
Старый 27.01.2007, 10:58     # 99
Джонович
Junior Member
 
Регистрация: 27.04.2005
Сообщения: 109

Джонович МолодецДжонович МолодецДжонович Молодец
В курсе. Только вот при установке другой версии XP (CE) такого не происходило... Думаю устанавливать теперь ее.

Хотя есть еще мысль. Залогинится в домен как администратор, тогда по идее все политики домена администраторские применятся к локальному компу и все будет гуд. А потом уже залогиниться под конкретным юзером. Видимо попробую сначала такой вариант, а потом уже другую версию.

Последний раз редактировалось Джонович; 27.01.2007 в 11:16.
Джонович вне форума  
Старый 06.02.2007, 15:02     # 100
Oleg
::VIP::
 
Аватар для Oleg
 
Регистрация: 03.11.2004
Адрес: Москва, Россия
Пол: Male
Сообщения: 982

Oleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg СэнсэйOleg Сэнсэй
1) Подскажите пожалуйста, в какой ветке групповых политик находится ключ "Create global objects" (знаю только, что это относится к DCOM, службам компонентов).

2) Как открыть редактор групповых политик на windows 2000 prof sp 4 ?
Oleg вне форума  


Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 02:47.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.