Windows 7 - Omezení pravomocí uživatele

Diskuze výhradně o operačním systému Windows 7

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod a.b.a.c.u.s 12. 12. 2011 16:53

Zdravím Vás!

Potřeboval bych ve Win 7 Pro nějak zařídit, aby někteří uživatelé měli jen omezené pravomoce (typ účtu "Uživatel se standardním oprávněním" pochopitelně nestačí) - konkrétně potřebuji zakázat přístup k síťovým nastavením, změnám ikon a pozadí na ploše atd. nebo ještě ideálnější by bylo, kdyby se vždy po odhlášení vrátil účet do nějakého přednastaveného nastavení.

Neznáte nějaký (nejlépe freeware) nástroj, který by tohle uměl?
a.b.a.c.u.s
Junior

Odeslat příspěvekod MiliNess 12. 12. 2011 17:44

gpedit.msc - Editor místních zásad skupiny (nástroj ve Windows)
Zbytek ručně v registru)
Hardwarová nezávislost znamená, že to neběží na žádném počítači.
MiliNess
Pokročilý

Odeslat příspěvekod Milanr1 12. 12. 2011 17:54

Nenapsal jsi verzi OS ani topologii sítě. Předpokládám Workgroups, protože v AD je to prosté:
http://technet.microsoft.com/cs-cz/library/gg176673(en-us,WS.10).aspx
na to by ses asi neptal.
Tři možnosti:
A/ nastavit korektně ACL, tj. zakázat přístup pro zápis do systémového disku a do Desktopu příslušného BFU; jednoduché a prosté (cca 1 min.), pokud zvládáš ACL na admin úrovni;
B/ použít Applocker -> pro pokročilejší adminy (hodinku si vyhraješ);
C/ nainstalovat nástroj Microsoft Deployment Toolkit http://www.microsoft.com/download/en/de ... x?id=25175
a prostudovat dokumentaci (pro velmi pokročilé).
Původní nástroj Steady State určený pro veřejné PC (knihovny, hotely, kavárny, ...) není k dispozici pro 64-bit OS a dokonce ani pro W7/32.
Základním předpokladem pro smysluplné použití (A)|(B)|(C) = optimalizace OS.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod chatumbabub 22. 12. 2011 14:49

Zdravim.
Snazim se udelat neco podobneho.
Potreboval bych, aby se po startu systemu zapnul jen internetovy prohlizec a s pocitacem uz neslo delat nic jineho(jen ho vypnout a restartovat). Internetove stranky bych rad zakazal vsechny, krome nekolika vyjimek.

Jak po startu zapnout prohlizec vim, ale ostatni mi neni jasne.

Poradite prosim zpusob jak na to? Diky
chatumbabub
Junior
Uživatelský avatar

Odeslat příspěvekod Milanr1 22. 12. 2011 15:56

Nenapsal jsi edici OS ani topologii sítě.
Předpokládám, že se jedná o workgroups.
Pokud používáš W7 UE, můžeš použít k omezení sw pro BFU optimálně var. (B), tj. Applocker.
Ve slabší edici kombinaci Software Restriction Policy (pozor: platí pro všechny!) a lokální GPO (zde můžeš cílit přesně na skupiny).
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod chatumbabub 23. 12. 2011 01:38

Jedna se o windows 7 professional(+workgroups), takze Applocker bohuzel pouzit nepujde.. Podivam se teda na Software Restriction Policy a GPO.

Kdyby si nahodou mel odkaz na nejaky pekny material, byl bych Ti vdecny :-)

Diky
chatumbabub
Junior
Uživatelský avatar

Odeslat příspěvekod Milanr1 23. 12. 2011 08:04

Začni např. zde:
http://technet.microsoft.com/en-us/libr ... 57006.aspx
http://technet.microsoft.com/en-us/library/ee617164(WS.10).aspx
Nezapomeň, že Software Restriction Policy nelze selektovat mezi účty/skupiny.
Abys něco podstatného nezakázal adminovi: pak už to nevrátíš (budou chybět příslušná práva). :-)
Před aplikací SRP zálohuj stav OS (sdclt).
Dokonale do detailů doladit nastavené základní politiky můžeš specificky dle skupin pomocí ACL (tj. přístup do složek):
http://technet.microsoft.com/en-us/libr ... 70962.aspx
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod mattthew 23. 12. 2011 08:19

Neviem ako je to vo windows 7, ale este v XP som riesil nieco podobne pre malu internetovu kaviaren a v jednej knihe som nasiel vyborny tip ako vsetko obmedzit a zaroven nezablokovat admina. Vsetky nastavenia ktore v gpedit vykonas sa totiz zapisuju do jedneho suboru, takze riesenie bolo paradoxne v tom, ze adminovi obmedzis pravo na citanie toho suboru a potom vykonas vsetky nastavenia v gpedit. Tie sa potom prejavia na vsetkych userov okrem admina. Fungovalo to dobre. Problem je ze si nepametam ktory subor to bol, takze to ber ako tip na hladanie.
mattthew
Junior
Uživatelský avatar

Odeslat příspěvekod Milanr1 23. 12. 2011 08:25

Ve volně přístupných PC s OS WNT řady 5 nebo OS Vista/32 ve veřejných místnostech se používá Windows Steady State, který řeší vše potřebné. Nemusíš tedy vymýšlet nic jiného.
Pro W7 ani pro žádný 64-bit OS WNT však tento nástroj MS nevydal. :-(
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod oooooooooo 23. 12. 2011 09:01

http://technet.microsoft.com/cs-cz/libr ... n-us,WS.10).aspx?ITPID=sprblog
řešil jsem něco podobnyho,nahoře maš odkaz jak na to trochu složitěj,jinak jde udělat klidně vhdboot,tady je ale otazka kde a co provozuješ,licence atd a všechno řešit raději tam,potom je to primitivně bezpečné v seven jde dokonce použit i steady state a to dvěma způsoby - jednim z nich je xpmode,v něm jde bez problemů nahodit jenže stejně musiš řešit aby pro usera byl dostupny pouze xpmode + xpmode neni pro všechny edice ,takže druhej oblez viz odkaz.
Ovšem pokud uživatele maji byt takto brutalně omezeni
Kód: Vybrat vše
Potreboval bych, aby se po startu systemu zapnul jen internetovy prohlizec a s pocitacem uz neslo delat nic jineho(jen ho vypnout a restartovat). Internetove stranky bych rad zakazal vsechny, krome nekolika vyjimek.
tak popravdě řečeno bych jim do win vůbec neumožnoval najet a najeli by do pěkně čiste plochy s jedinou ikonkou kde by se skvěl prohližeč.No a že to nejsou win by jim bylo celkem šumafuk,99 procent z nich by to nepoznalo - to za prve ,a za druhe je to prace na 5 minut.
http://seven7.blog.zive.cz/
Spuštění Windows předchází pád.
oooooooooo
Pokročilý
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků