Групповые (group) и локальные (local) политики (policy) операционных систем Windows - Операционные системы M$ - Страница 5

coolchevy · 06.06.2006, 22:34

Naked, я так и делаю, но получаю ответ мол данное действие запрещено локальной политикой, если логинюсь в сафе мод то все гуд.

Проблема не в том как залогинится, а как отключить эту защиту или проверку, или как еще ее там назвать...

*Plague* · 06.06.2006, 22:54

не понял, что и под админом ругается чтоль?

Borland · 07.06.2006, 02:17

coolchevy
http://windowsxp.mvps.org/admins.htm

Цитата:

In Windows XP Home Edition, you can login as built-in Administrator in Safe Mode only. For XP Professional, press CTRL + ALT + DEL twice at the Welcome Screen and input your Administrator password in the classic logon window that appears.

imhoman101 · 07.06.2006, 04:49

>Проблема не в том как залогинится, а как отключить эту защиту или проверку, или >как еще ее там назвать...

Помнитца мне, что в приложении mmc (Microsoft Management Console), есть Snap-In подключаемый, при помощи которого можно восстановить все эти установки безопасности в уровень по умолчанию, который был у операционки при установке.

Какой именно Snap-In за это отвечает, и на какой конкретно уровень надо все установки поставить (который считается как раз по умолчанию) уже не помню, на MCSE еще не сдавал экзамен 70-270, вот буду готовиться - тогда и вспомню и прочитаю еще раз :-)

PS Ну и попробуй самое простое - в Local Security Policy глянть, какие у тебя настройки в полях - Deny Logon Locally итп

coolchevy · 07.06.2006, 10:39

imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Borland, да, спасибо, вот еще нашел:

Цитата:

После завершения установки вы можете пользоваться учетной записью администратора только в безопасном режиме. При использовании учетной записи администратора для входа в систему в обычном режиме может появиться следующее сообщение об ошибке:
Вход в систему невозможен из-за ограничений для учетной записи
Возникновение этой проблемы связано с тем, что учетная запись администратора резервируется для использования в безопасном режиме, когда учетная запись владельца недоступна.
Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109

Может кто знает где в реестре можно это ручками побороть? Очень нужно

imhoman101 · 09.06.2006, 07:30

Цитата:

imhoman101, я не могу найти как можно добраться до политик в хоме едишине, подскажи пожалуйста где конкретно искать?

Start -> Settings -> Control Panel -> Administrative Tools -> Local Security Policy
И там уже смотришь ветку Local Policies: User Rights Assignment & Security Options.

Цитата:

Подобное поведение является особенностью данного продукта.
http://support.microsoft.com/?kbid=290109

Ну так это не баг, это фича, судя по написанному по ссылке :-)
Так что мешает создать еще одного пользователя и дать ему админские права и этим пользователем логиниться, вместо встроенного в систему Administrator'а ?

KomatoZo · 09.06.2006, 10:03

Насчет политик даже отвечать не буду - съэкономили, теперь сами разбирайтесь =)
А насчет админа - в home самый простой способ до него добраться это два раза нажать в экране приветствия "три болта ".

pazdak · 27.11.2006, 18:23

Помогите решить Маленькую проблемку, но доставляющую головную боль.
Прошу прощения, если тема уже поднималась, но ответа я на нее нигде не нашел...

Windows 2003 AD
Клиенты Windows 2000/XP

Нужно с помощью групповой политики раздать полные права ВСЕМ пользователям компании на следующую ветку реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem]

При помощи шаблона: Computer Config->Windows Setting->Registry этого не получается сделать, наверное потому, что Computer Config не знает про HKEY_CURRENT_USER

Отсюда собственно вопрос, как для этой ветки, пользователям можно дать права при помощи GPO или может быть (VBS) скрипт какой использовать для этих целей?
Очень нужен Ваш совет...

KomatoZo · 27.11.2006, 18:34

А у каждого пользователя и так Full Control на эту ветку, так что непонятно, что Вам нужно.

pazdak · 27.11.2006, 19:16

KomatoZo
Прошу прощенья, что сразу не написал, ибо ветка:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
по умолчанию имеет права Read для обычного пользователя, а нужно Full Control. Если не верите, то можете проверить...
Собственно вопрос остается открытым...

KomatoZo · 27.11.2006, 19:48

Виноват, обознался. Честно говоря, задача не из тривиальных. Потому что если пользователь не имеет на ветку прав, то изменить их не может. А у Администратора, как и у каждого пользователя - своя ветка current_user. Сразу видится только один путь: дать пользователям права администратора, скриптом выставить права на ветку, отобрать права администратора. Могу ошибаться.

pazdak · 28.11.2006, 11:38

KomatoZo
Это наверное единственный выход из сложившейся ситуации, но как все сделать автоматически, через скрипт:
1) Дать права администратора пользователю (нужна как минимум перерегистрация), может быть через runas запустить другой скрипт для 1) и 3)
2) Назначить права на ветку реестра
3) Забрать права администратора у пользователя (нужна как минимум перерегистрация)

Все это хотелось бы сделать именно автоматически через скрипт.

KomatoZo · 28.11.2006, 11:44

Ммм... Криво, но, может быть так:
Создаем скрипт, который запускается при стартапе и:
1) делает пользователя членом группы Администраторы, пишет в какой-нибудь файлик... Ну, скажем, "1", делает юзеру принудительный logof
2) При повторной загрузке смотрит, есть ли единичка, если есть, то выставляем нужные полномочия, выключаем пользователя из админов, пишем "2"
3) Смотрит, есть ли двойка, если есть, то просто отключается.
Коряво и неприятно, но все-таки...

Ascetic · 01.12.2006, 05:29

Может поможет:

Цитата:

Содержащаяся в наборах Microsoft Windows 2000 Server Resource Kit и Microsoft Widows NT Server 4.0 Resource Kit утилита Subinacl – это один из самых мощных и полезных инструментов командной строки, который позволяет непосредственно редактировать практически любую информацию, относящуюся к сфере безопасности – разрешения, принадлежность, аудит – для всех типов объектов. С помощью Subinacl можно изменять эту информацию не только для файлов, папок и сетевых принтеров, но и управлять разрешениями в разделах реестра, системных службах и метабазе IIS.

_http://www.server.md/articles/153/

UPD:

subinacl.exe /outputlog=policies.log /keyreg HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies /grant=domain\user=F

Проверено. Работает.

pazdak · 04.12.2006, 10:22

Ascetic
Спасибо конечно, но вопрос стоял не каким средством назначить права на ветку, а как дать эти права пользователю не имеющему прав лок. админа ИБО без этих прав команда subinacl.exe бесполезна !!!

Поэтому, пока единственно верный вариант для этой задачи именно тот который обсуждался с KomatoZo.

Хотя есть еще один, реализуемый при помощи команды RegIni, но тут есть масса ограничений, начиная от того, что нужно дать права только конкретному пользователю и заканчивая тем, что иногда домашняя папка пользователя называется не по имени пользователя, например после переименовая аккаунта.

Но в принципе задача решена на 99%, сейчас тестируется и отлаживается.

Цитата:

'******************************************************
'Краткое описание скрипта:
' Назначить ACL = Full Control(FC) для ветки реестра HKEY_CURRENT_USER.
' По умолчанию любой пользователь не входящий в группу лок. админов
' не имеет прав FC для ветки HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
' встала задача автоматически раздать пользователям права на эту ветку.
' Как работает: (для текущего пользователя)
'...1) Проверяется, а есть ли вообще доступ к этой ветке? Если нет, то считаем, что такой ветки нет и на выход
'...2) Проверяется есть ли права на создание в этой ветке новых элементов? Если да и нет во временной папке (TEMP) флаг-файла, то на выход
'...3) Проверяем принадлежность пользователя к группе лок. админов, ибо только являясь лок. админом пользователь сможет поменять права на ветку в разделе HKCU
'...4) Если пользователь не лок. админ, то добавляем его туда через runas и создаем временный файл, чтобы потом отобрать это право у него при наличии этого файла. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с правами админа
'...5) Назначаем права на ветку реестра используя SetACL.exe (стороняя) и если пользователь ранее не был админом, то удаляем его из этой группы и удаляем временный флаг-файл. Сразу же делаем принудительный logoff, чтобы пользователь перелогинился с обычными правами
'******************************************************

Джонович · 26.01.2007, 20:31

Захожу под Администратором, вижу политики, но изменить не могу! Что это может быть и как с этим бороться? Поискал здесь на форуме и в инете, ничего об ентом не нашел... Help!

Джонович · 26.01.2007, 22:09

Выяснил (опытным путем), что при создании второго пользователя, который подключается к домену, с доменного контроллера копируются все "настройки" для данного пользователя... Как это отключить? Как сделать чтобы при подключении к домену и создании новой учетной записи не коцались стандартные установки винды по умолчанию? Помогите, винду надо срочно запустить на горе-компе!

gluon · 26.01.2007, 23:01

в курсе, что если комп входит в домен к нему применяется политика домена, если политика (например, одна из политик паролей) определена на уровне домена она перекрывает локальную политику и локальный админ результирующую политику изменить не может ?

Джонович · 27.01.2007, 10:58

В курсе. Только вот при установке другой версии XP (CE) такого не происходило... Думаю устанавливать теперь ее.

Хотя есть еще мысль. Залогинится в домен как администратор, тогда по идее все политики домена администраторские применятся к локальному компу и все будет гуд. А потом уже залогиниться под конкретным юзером. Видимо попробую сначала такой вариант, а потом уже другую версию.

Oleg · 06.02.2007, 15:02

1) Подскажите пожалуйста, в какой ветке групповых политик находится ключ "Create global objects" (знаю только, что это относится к DCOM, службам компонентов).

2) Как открыть редактор групповых политик на windows 2000 prof sp 4 ?

06.06.2006, 22:54	# 82
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 042	не понял, что и под админом ругается чтоль? __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

07.06.2006, 04:49	# 84
imhoman101 Member Регистрация: 18.11.2005 Сообщения: 254	>Проблема не в том как залогинится, а как отключить эту защиту или проверку, или >как еще ее там назвать... Помнитца мне, что в приложении mmc (Microsoft Management Console), есть Snap-In подключаемый, при помощи которого можно восстановить все эти установки безопасности в уровень по умолчанию, который был у операционки при установке. Какой именно Snap-In за это отвечает, и на какой конкретно уровень надо все установки поставить (который считается как раз по умолчанию) уже не помню, на MCSE еще не сдавал экзамен 70-270, вот буду готовиться - тогда и вспомню и прочитаю еще раз :-) PS Ну и попробуй самое простое - в Local Security Policy глянть, какие у тебя настройки в полях - Deny Logon Locally итп Последний раз редактировалось imhoman101; 07.06.2006 в 04:52.

09.06.2006, 10:03	# 87
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Насчет политик даже отвечать не буду - съэкономили, теперь сами разбирайтесь =) А насчет админа - в home самый простой способ до него добраться это два раза нажать в экране приветствия "три болта ". __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

27.11.2006, 18:23	# 88
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	Права на ветку реестра CURRENT_USER через Групповую политику? Помогите решить Маленькую проблемку, но доставляющую головную боль. Прошу прощения, если тема уже поднималась, но ответа я на нее нигде не нашел... Windows 2003 AD Клиенты Windows 2000/XP Нужно с помощью групповой политики раздать полные права ВСЕМ пользователям компании на следующую ветку реестра: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\S ystem] При помощи шаблона: Computer Config->Windows Setting->Registry этого не получается сделать, наверное потому, что Computer Config не знает про HKEY_CURRENT_USER Отсюда собственно вопрос, как для этой ветки, пользователям можно дать права при помощи GPO или может быть (VBS) скрипт какой использовать для этих целей? Очень нужен Ваш совет... __________________ Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите

27.11.2006, 18:34	# 89
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	А у каждого пользователя и так Full Control на эту ветку, так что непонятно, что Вам нужно. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

06.06.2006, 22:34	# 81
coolchevy Junior Member Регистрация: 05.02.2006 Сообщения: 72	Naked, я так и делаю, но получаю ответ мол данное действие запрещено локальной политикой, если логинюсь в сафе мод то все гуд. Проблема не в том как залогинится, а как отключить эту защиту или проверку, или как еще ее там назвать...

27.11.2006, 19:16	# 90
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	KomatoZo Прошу прощенья, что сразу не написал, ибо ветка: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies] по умолчанию имеет права Read для обычного пользователя, а нужно Full Control. Если не верите, то можете проверить... Собственно вопрос остается открытым... __________________ Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите

27.11.2006, 19:48	# 91
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Виноват, обознался. Честно говоря, задача не из тривиальных. Потому что если пользователь не имеет на ветку прав, то изменить их не может. А у Администратора, как и у каждого пользователя - своя ветка current_user. Сразу видится только один путь: дать пользователям права администратора, скриптом выставить права на ветку, отобрать права администратора. Могу ошибаться. __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

28.11.2006, 11:38	# 92
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	KomatoZo Это наверное единственный выход из сложившейся ситуации, но как все сделать автоматически, через скрипт: 1) Дать права администратора пользователю (нужна как минимум перерегистрация), может быть через runas запустить другой скрипт для 1) и 3) 2) Назначить права на ветку реестра 3) Забрать права администратора у пользователя (нужна как минимум перерегистрация) Все это хотелось бы сделать именно автоматически через скрипт. __________________ Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите

28.11.2006, 11:44	# 93
KomatoZo ::VIP:: Регистрация: 14.05.2005 Сообщения: 939	Ммм... Криво, но, может быть так: Создаем скрипт, который запускается при стартапе и: 1) делает пользователя членом группы Администраторы, пишет в какой-нибудь файлик... Ну, скажем, "1", делает юзеру принудительный logof 2) При повторной загрузке смотрит, есть ли единичка, если есть, то выставляем нужные полномочия, выключаем пользователя из админов, пишем "2" 3) Смотрит, есть ли двойка, если есть, то просто отключается. Коряво и неприятно, но все-таки... __________________ "Поживем - увидим" - сказал слепой, больной СПИДом... Телепаты в отпуске. Все поголовно. Навсегда. И кому я что должен - всем простил.

26.01.2007, 20:31	# 96
Джонович Junior Member Регистрация: 27.04.2005 Сообщения: 109	WinXP SP2 RUS. Не могу поменять политику паролей! Help me! Захожу под Администратором, вижу политики, но изменить не могу! Что это может быть и как с этим бороться? Поискал здесь на форуме и в инете, ничего об ентом не нашел... Help!

26.01.2007, 22:09	# 97
Джонович Junior Member Регистрация: 27.04.2005 Сообщения: 109	Выяснил (опытным путем), что при создании второго пользователя, который подключается к домену, с доменного контроллера копируются все "настройки" для данного пользователя... Как это отключить? Как сделать чтобы при подключении к домену и создании новой учетной записи не коцались стандартные установки винды по умолчанию? Помогите, винду надо срочно запустить на горе-компе!

26.01.2007, 23:01	# 98
gluon Junior Member Регистрация: 09.02.2006 Сообщения: 71	в курсе, что если комп входит в домен к нему применяется политика домена, если политика (например, одна из политик паролей) определена на уровне домена она перекрывает локальную политику и локальный админ результирующую политику изменить не может ? Последний раз редактировалось gluon; 26.01.2007 в 23:05.

27.01.2007, 10:58	# 99
Джонович Junior Member Регистрация: 27.04.2005 Сообщения: 109	В курсе. Только вот при установке другой версии XP (CE) такого не происходило... Думаю устанавливать теперь ее. Хотя есть еще мысль. Залогинится в домен как администратор, тогда по идее все политики домена администраторские применятся к локальному компу и все будет гуд. А потом уже залогиниться под конкретным юзером. Видимо попробую сначала такой вариант, а потом уже другую версию. Последний раз редактировалось Джонович; 27.01.2007 в 11:16.

06.02.2007, 15:02	# 100
Oleg ::VIP:: Регистрация: 03.11.2004 Адрес: Москва, Россия Пол: Male Сообщения: 982	1) Подскажите пожалуйста, в какой ветке групповых политик находится ключ "Create global objects" (знаю только, что это относится к DCOM, службам компонентов). 2) Как открыть редактор групповых политик на windows 2000 prof sp 4 ?