Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (II).

V seriálu pokračujeme základy - tedy jak si omezený účet vytvořit, jak převést disk do NTFS a jak kopírovat uživatelské profily, abychom nemuseli vytvářet v různých účtech tatáž nastavení znovu.

Tvorba účtu "s omezeným oprávněním"

V minulém díle jsme si řekli, proč je důležité nepoužívat pro běžnou práci účet typu Administrator. Dnes si ukážeme, jak účet "s omezeným oprávněním" vlastně vytvořit.

V operačních systémech Windows jsou plné nástroje na správu účtů obsaženy pouze ve verzích Professional, ve verzích typu Home je možné účty spravovat pouze ve zjednodušeném ovládacím panelu "Uživatelé". Ukážeme si tedy nejprve tuto "zjednodušenou" (ve skutečnosti složitější) variantu.

[http://pc.poradna.net/files/article/714/xpcontrolpa nelky0.png]

V ovládacích panelech si otevřeme ovládací panel User Accounts (Uživatelské účty).

[http://pc.poradna.net/files/article/714/xpcontrolpa nel2pa7.png]

Zvolíme "Create a new account" (Vytvořit nový účet)

V další obrazovce pro něj vybereme jméno, to si myslím, že se obejde bez screenshotu.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel4pe9.png]

Zde je důležitý krok - vybíráme druh účtu. Chceme samozřejmě "Limited" (účet s omezeným oprávněním).

[http://pc.poradna.net/files/article/714/vistacontro l1fz9.png]

Ve Windows Vista vypadá tato obrazovka takto - zde již není účet nesmyslně označován jako "omezený" - a tak je to správně.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel8pn1.png]

Správa účtů, kterou jsme si ukázali, je velmi omezená. Používáte-li však Windows XP Professional, Windows 2000, Vista Bussiness/Enterprise, máte přístup ke standardní správě účtů, z níž je také dobře pochopitelný princip, na kterém je postavená. Práva jsou, jak jsme si minule řekli, určena tím, v jaké uživatelské skupině se nacházíte, což jde ze "zjednodušeného" ovládacího panelu poznat jen tak, že "víme", že všechny účty jsou ve skupině Administrators a ty "omezené" jsou naopak ve skupině Users. "Zjednodušený" ovládací panel nám tají, že existuje skupina Power Users, která má právo instalovat software ale nemá například právo přistupovat kamkoliv na (NTFS) systémovém disku, tedy stojí někde mezi uživatelem a administrátorem. Do správy účtů se dostanete například pravým kliknutím na ikonu Tento počítač a volbou Manage (Spravovat) kdekoliv v průzkumníku; další cestou je ikonka v Nástrojích pro správu (Administrative Tools) v ovládacích panelech.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel9sy1.png]

"Správa uživatelů" je jen částí konzoly "Správa počítače"; je rozdělena na dvě složky, Uživatelé a Skupiny. (Dvojklik na uživatele zobrazí jeho vlastnosti, kde je možné jej i např. zařadit do skupiny, a obráceně dvojklik na skupinu zobrazí vlastnosti skupiny, kde je především vidět, jaké uživatele skupina obsahuje.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel10qd4.png]

Záložka Advanced (Upřesnit) vlastností uživatele nám ukazuje, jakých skupin je uživatel členem. Pokud je členem pouze skupiny Users, má práva běžného uživatele; pokud by tam měl zároveň i skupinu Administrators, již má práva skupiny Administrators.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel11ik9.png]

Pouze pro zajímavost a pro pokročilé uživatele: i když není počítač členem domény, můžete si nastavením příslušných vlastností nastavit pro uživatele cestovní profil, přihlašovací skript a nastavit proměnnou %HOMEDRIVE%, která se vám zároveň připojí jako síťový disk po přihlášení uživatele.

Chráníme systémový disk. Proč a jak

Aby byl uživatelský neprivilegovaný účet opravdu neschopen mazat nebo měnit systémové soubory, což z bezpečnostních důvodů samozřejmě chceme, musí být systémový disk, tedy diskový oddíl, na kterém je adresář WINDOWS, ve formátu NTFS. Pokud jej v NTFS nemáme, ukážeme si, jak jej převést.

K převádění mezi formáty se ve Windows NT používá příkaz CONVERT. Syntaxe je jednoduchá:

CONVERT [jednotka] /FS:NTFS

Příkaz CONVERT je bezpečný, přesto se jako při jakékoliv manipulaci se souborovým systémem doporučuje obsah oddílu zálohovat. Při běhu příkazu CONVERT by nemělo dojít k výpadku proudu. CONVERT neumí převést systémový disk, pokud jsou plně spuštěny Windows; pokud se pokusíme převést systémový disk, řekne nám, že se příkaz vykoná při příštím spuštění Windows. (A to se také stane; příkaz se spustí po inicializaci systému, ale před spuštěním rozhraní k přihlášení). Naopak nesystémový disk je příkaz CONVERT bez problémů schopný převést "zatepla".

[http://pc.poradna.net/files/article/714/vistacontro l3lz0.png]

Toto je malý příklad použití příkazu CONVERT; nejprve jsem zkusil převést systémový disk, ten však již byl v NTFS, tak jsem použil CONVERT na převedení disku D:

Profily nejsou náš nepřítel

Pokud jste se zkusili přihlásit do nově vytvořeného účtu, asi jste si všimli, že nastavení plochy, dokumentů, oblíbených v IE a vůbec nastavení aplikací se nepřeneslo a vše má výchozí, tovární nastavení. Je to proto, že každý uživatel má jiné nastavení, což je ostatně logické. Všechna tato nastavení jsou v tzv. uživatelském profilu, který odpovídá složce uživatele v "Documents and Settings" (potažmo Users ve Windows Vista). Pouhé překopírování souborů v průzkumníku do nového profilu ale nepomůže; součástí profilu je totiž ještě uživatelská část registru a informace o tom, kdo může tento profil používat. Pouhým překopírováním bychom se dostali do situace, že by profil pod naším novým uživatelem nešel načíst. Naštěstí je ve Windows přímo nástroj, který je k přenášení profilů určený.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel6zi1.png]

Ve Windows 2000/XP jej najdeme v ovládacím panelu Systém, záložka Advanced(Rozšířené), User profiles (Uživatelské profily). Po kliknutí na Settings se nám zobrazí seznam uživatelských účtů, které máme práva měnit. Pod uživatelským účtem se nám zobrazí jen ten náš vlastní, pod administrátorským všechny účty na daném počítači. Zároveň platí, že kopírovat jeden profil do druhého jde pouze tehdy, když ani na jednom z nich není nikdo přihlášený. Z toho všeho vyplývá, že abychom nastavení našeho starého uživatelského profilu mohli překopírovat do našeho nového uživatelského, musíme si založit ještě jeden účet, tentokrát s právy skupiny Administrators.

[http://pc.poradna.net/files/article/714/xpcontrolpa nel7hg8.png]

Jakmile pod tímto novým účtem budeme zalogováni, můžeme vybrat profil, který chceme kopírovat (např. náš starý administrátorský) a vybereme si cestu, kam profil chceme nakopírovat (tedy cestu k našemu novému uživatelskému účtu). Důležité je v druhém tlačítku prokliknout, který účet bude mít práva jej používat - kdybychom to neudělali, profil by se zkopíroval i s informací, že jej může používat pouze náš starý administrátorský účet.

Jakmile toto bude hotovo, když se odhlásíme a přihlásíme se do našeho nového uživatelského účtu, nepoznáme že nejsme v našem starém administrátorském - ikony na ploše, tapeta, nastavení prohlížeče, vše bude při původním nastavení. Jen nebudeme mít práva administrátora.

[http://pc.poradna.net/files/article/714/vistacontro l2dp1.png]

Ve Windows Vista je nástroj na kopírování účtů trochu jinde - najdeme jej v ovládacím panelu systém, "Advanced system settings" (Rozšířená systémová nastavení) a dále Advanced (Rozšířené), a dále již je to stejné jako ve Windows XP.

V dalším díle se budeme věnovat tomu, jak pracovat s více účty současně, pokud potřebujeme mít spuštěnou aplikaci, která vyžaduje administrátorská práva.

Související: http://pc.poradna.net/article/view/600-bezpecnost-n a-internetu-pracujeme-s-neprivilegovanym-uctem-i

Předmět Autor Datum
Vladimire -děkuji. -obrázkový návod je třeba. -opravdu,povedlo se. :-) -konečně něco jednoduchýho,co…
kmochna 12.01.2008 00:09
kmochna
Dotaz, musím se připravit na hbitého synovce a hlavně to nastavit u ségry. Win XP Home SP2 Udělal js…
Tomix 12.01.2008 01:17
Tomix
Můžeš. Stačí přesunou ikony z "All users" do tvého profilu. Rovněž doporučuju i do "Default User", t…
touchwood 12.01.2008 20:44
touchwood
O Default profilu jsem uvažoval pro tento díl, ale nakonec jsem si řekl že by to spíš uživatelům hla…
Vladimir 12.01.2008 21:18
Vladimir
vyplácí se mi to už pro pc s více než 2 účty, které mají být podobně nastavené - respektive se ty pc…
lední brtník 13.01.2008 12:13
lední brtník
*) nemá někdo nějaký geniální .reg soubor? Zhruba 80% vytvoříš v RegToy - spustíš si v něm nahrávac…
kmochna 13.01.2008 12:46
kmochna
volbu co je na obrázku jsem nikdy neviděl to je divné, já to tam viděl, ostatně jinak bych to asi n…
Vladimir 13.01.2008 20:33
Vladimir
Má zkušenost je taková, že záleží na tom kolik a jakých účtů už bylo vytvořeno. První účet musí být…
KubikH 25.03.2008 21:28
KubikH
Opat som sa nesklamal, Vladimir :-) ▪ napisane pekne, jednoduchym stylom ▪ vzdy uvadzas aj anglicke…
2laak 12.01.2008 09:29
2laak
Vladimir na Hrad! :beer:
mif 12.01.2008 10:50
mif
Vladimir na Hrad! Neblázni, buď rád že je Vladimír dosud normální jedinec, schopný komunikace s ost…
Jan Fiala 12.01.2008 18:23
Jan Fiala
a pak jsi odejit Co to je za slovni vyraz? Nesetkavam se s tim zas tak casto ale parkrat jsem to vi…
MKc 20.01.2008 22:38
MKc
Toto se hodně používá v souvislosti s udělením banu.Neřekne se:"Kde je?Má banán,ale byl odejít."Neví…
kmochna 21.01.2008 06:09
kmochna
Pardon, ale na konci prvního článku chybí pokračovací odkaz na článek 2.
čumil 12.01.2008 18:36
čumil
Díky za upozornění, napraveno.
Vladimir 12.01.2008 21:16
Vladimir
Dobry den,abych to presne pochopil tak se radeji zeptam,myslel jsem ze mohu vytvorit novy ucet s adm…
on 13.01.2008 18:28
on
ne, každému co jeho jest. admin ať leze kam má (pokud není zakryptováno tak všude, případně umí přev…
lední brtník 13.01.2008 22:48
lední brtník
ve verzi home si nějaký účet správce "admin" zřídím. To je to první,co v této verzi u konce instala…
kmochna 13.01.2008 23:47
kmochna
Vyborne,mam xp a hotovo,jsem zvedav na dalsi dil, zrejme o prevzeti prav,skoda ze neni nejaka utilit…
on 14.01.2008 15:22
on
Opět výborný článek, jen tak dál. Ještě pár dílů a můžu znovu začít s nastavováním PC a dělat zálohy…
Kuncek 20.01.2008 20:28
Kuncek
Díky za takovéto návody, ale stejně bych potřeboval poradit. Každou chvíli tady čtu že by člověk měl…
Míra22 26.01.2008 23:54
Míra22
Všechno jsem přerovnal, panel spustil a odhlásil se. jakmile jsem se znova přihlásil, tak bylo vše z…
Vladimir 27.01.2008 21:45
Vladimir
pěkná chujovina toto, už sem to skoušel asi 4x a nikdy se nepovedlo, jak dojde na kopírování je to c…
fosiczka 25.07.2008 16:06
fosiczka
Je to fakt super článek, vůbec jsem netušil, že se dá s profilama dělat tolik věcí. Jen na jednu pod…
Alíkkk 26.08.2008 21:55
Alíkkk
Z jakého účtu to kopírujete? Ten účet musí mít práva na obě složky profilu, první pro čtení (původní…
Vladimir 06.09.2008 12:36
Vladimir
proč mi nefunguje u novýho ůčtu třeba qip? nebo NHC 2.0???
fosiczka 06.09.2008 11:34
fosiczka
QIP pod neadmin účtem normálně funguje - co to přesně dělá a jsi si jistý že víš jak fungují profily…
Vladimir 06.09.2008 12:38
Vladimir
on se spustí, ale nepřipojí, píše chybu něco s uživatelem, neni prostě nastaven tak jak ho mam v adm…
fosiczka 07.09.2008 13:33
fosiczka
takto to vypadá: http://img291.imageshack.us/my.php?image=beznzvuqt6 .gif
fosiczka 07.09.2008 13:44
fosiczka
ahoj, kdy prosim vytvoris 3.díl? Lucia poslední
luciaa 23.12.2009 16:04
luciaa

Vladimire
-děkuji.
-obrázkový návod je třeba.
-opravdu,povedlo se. :-)
-konečně něco jednoduchýho,co pochopí každý.
-----
Těším se na třetí díl. :-)
----------------
EDIT// možná bych doplnil,cože to chce convert za volume label(jméno disku)?-je to častý zákys v konvertování - jedná se o jméno disku (většinou místní disk)-já to dělám tak,že ho přejmenuju(v průzkumníku) na "aaa" a to tam prdnu-zbytek je v režii systému.

Dotaz, musím se připravit na hbitého synovce a hlavně to nastavit u ségry.
Win XP Home SP2
Udělal jsem další účet (user), ale naskočilo tam spousta programů z instalací,
kde jsem klíďo píďo odklikával "pro všechny"(když byl jen jeden).
Můžu to teď nějak dodatečně pozměnit, aby tam měl maximálně Alíka a Malování
a nepídil se po dalších programech?

Můžeš. Stačí přesunou ikony z "All users" do tvého profilu. Rovněž doporučuju i do "Default User", tak se ikony nakopírují i nově vytvořeným profilům a uživatelé si je mohou uzpůsobit k obrazu svému (např. smazat).

BTW, Vladimíre, doufám, že zahrneš v dalším díle i práci s Default profilem (protože to je jeden z nejmocnějších nástrojů Windows a přitom jej málokdo zná a používá)

O Default profilu jsem uvažoval pro tento díl, ale nakonec jsem si řekl že by to spíš uživatelům hlavu popletlo, přeci jen to chce vědět třeba aspoň to, kdy se profil vytváří apod. Takže pro příští díl o něm neuvažuju, ten bude o něčem jiném.

IMHO Default profil je spíš nástroj pro administrátory co tvoří mnoho (>10) účtů.

vyplácí se mi to už pro pc s více než 2 účty, které mají být podobně nastavené - respektive se ty pc ve výrobě liší jen startovním prostředím podle uživatele - to už dělá nějaký login skript.

u dočasného vzorového uživatele (bez hesla) nastavím klasické startmenu + úpravy, vzhled lišty start, vzhled (classic), zruším zbytečné ikony, zatrhnu vlastnosti složky, spořič (vyp.), efekty zobrazení (vyp.), zpoždění menu, zobrazování písmene disku jako první, vzhled ie, domovskou stránku, předvolím (anglickou) klávesnici ... víc mě teď nenapadá*

podle někdejší touchwoodovy rady: přihlásím se jako admoš, podle obrázku nahoře [user profiles / copy to] zkopíruju profil vzorového uživatele do "default user", proto ani nevyplňuju oprávnění pod tím, a vzorového uživatele potom smažu, už ho nepotřebuju. čili nastavení se dotkne všech budoucích vytvořených účtů kromě administrátora - proto píšu od 2 výše.

původní příspěvek jsem nenašel, aspoň toto: http://pc.poradna.net/question/view/161358-dedicnos t-ve-windows-profilech

*) nemá někdo nějaký geniální .reg soubor?
-----

poznámka: při vytváření nového uživatele přes ovládací panely / users (3.obrázek) se mi nabízí jen typ administrator (volba limited user je vždy zašedlá). to bych řekl že není v xp dobře vyřešeno.
typ účtu se dá změnit dodatečně přes tento počítač / spravovat (správa účtů z konzoly správa počítače) - nebo ve správě účtů jde vytvořit omezeného (ok, základního) uživatele rovnou - ale volbu co je na obrázku jsem nikdy neviděl.

Má zkušenost je taková, že záleží na tom kolik a jakých účtů už bylo vytvořeno.

První účet musí být vždy neomezený, přičemž účet Administrator se do toho nepočítá. Další už mohou být běžné. V Nástrojích pro správu je to pochopitelně jinak, včetně spousty typů účtů.

Taky jsem si všiml, že účet Administrator sice existuje vždy, ale je v Nástrojích pro správu zakázaný (nebo jak je ten checkbox pojmenovaný) - neobjevuje se v nabídce pro přihlášení, podobně je to myslím s účtem hosta.. Možná, kdyby se to odpálilo, tak by šel běžný uživatel vytvořit napoprvé. Tento zákaz, pokud neexistuje jiný účet s neomezeným oprávněním, navíc pod Vistama způsobuje kuriozitu: pokud používáte UAC (Řízení uživatelských účtů), tak po poklepání na nějakou "administrátorskou" činnost vás systém vyzve k zadání hesla správce, ale jaksi ho není kam zadat - prostě tam není žádné políčko pro jeho zadání. Pokud se účet Administrator (nebo jakýkoliv účet ze skupiny Administrators) povolí, vše funguje jak má.

Takto jsem to vypozoroval, ale vůbec netuším, jestli se to týká všech verzí, nebo jen Home, nebo je to jen mnou pozorovaná náhoda. Windows téměř nepoužívám, jen jsem teď tatínkovi dával dohromady nový počál a právě zmíněné Visty jsem tam instaloval.

Opat som sa nesklamal, Vladimir :-)

▪ napisane pekne, jednoduchym stylom
▪ vzdy uvadzas aj anglicke aj ceske nazvy
▪ popisal si oba OS (XP aj Vista)

nuz, hladal som, co by som vytkol, neobjavilo som. dakujem a uz sa tesim na (este zaujimavejsi) dalsi diel.

Vladimir na Hrad!

Neblázni, buď rád že je Vladimír dosud normální jedinec, schopný komunikace s ostatními normálními jedinci.
Na tom pražském mostě (pardon hradu), parlamentu a podobných institucích je taková zvláštní nemoc. Buď se ukážeš jako nehodný (zůstaneš slušný) a pak jsi odejit nebo jsi nakažen stejnou nemocí jako ostatní a stáváš se pro normální lidi bezcenným jedincem.

ne, každému co jeho jest.
admin ať leze kam má (pokud není zakryptováno tak všude, případně umí převzít práva), uživatel pouze do adresáře jehož je vlastníkem, nebo jinam kam mu to práva na ntfs dovolí.
pokud chci z rozumně bezpečných důvodů při surfování po síti (s možností nákazy) nemít admošská práva, nechám si účet administrator čistě jen pro správu počítače, ve verzi home si nějaký účet správce "admin" zřídím.
pod přihlášeným admošem svému obvyklému pracovnímu účtu změním oprávnění na user, převod práv se nekoná. a je to, a zabezpečení svých windows jsem rázem zvedl o 1000%.

Díky za takovéto návody, ale stejně bych potřeboval poradit. Každou chvíli tady čtu že by člověk měl používat účet s omezenými právy, tak jsem si řekl že to taky udělám, než budu mít problémy :-). Ve win Xp proff jsem vytvořil jsem nový účet s omezenými právy, pak jsem se přepnul do administrátorského a udělal kopii mého původního účtu snad přesně podle toho návodu. Když jsem pustil nový účet, tak tam bylo všechno jako v tom původním, ale ikony všechny naskákané na levé straně na mřížce a nefungoval panel snadného spuštění. Všechno jsem přerovnal, panel spustil a odhlásil se. jakmile jsem se znova přihlásil, tak bylo vše zase jako na začátku. Tak jsem na tom novém účtu zkusil změnit práva na správce, a v tu chvíli všechno vypadalo jako na původním účtu, včetně rozmístění ikon. Po odebrání práv správce, zase všechny ikony vlevo. Poraďte kde dělám chybu, abych se nakonec zase nevrátil k admin účtu a všechny ostatní nezrušil. Díky Mirek

Všechno jsem přerovnal, panel spustil a odhlásil se. jakmile jsem se znova přihlásil, tak bylo vše zase jako na začátku.

Takhle se Windows chovají, když je zapnutá skupinová politika "Neukládat uživatelská nastavení v průzkumníku". Což bych řekl ale že tady problém nebude, protože počítač s největší pravděpodobností není zařazený do domény. Takže je to menší záhada...

Zkusil bych se v documents and settings podívat na práva, která má uživatel přiřazené na svoji složku (záložka zabezpečení), jestli tam není například jen pro čtení nebo něco takového...

Je to fakt super článek, vůbec jsem netušil, že se dá s profilama dělat tolik věcí.
Jen na jednu podstatnou drobnost bych se zeptal:
Mám XP SP2 udělal jsem vše podle návodu, ale když chci zkopírovat starý admin účet do nového omezeného viz. návod, hází mi to chybové hlášení: " Nepodařilo se nastavit zabezpečení cílového profilu. Chyba - přístup byl odepřen."
Nevíte jak to řešit? Možná je to chyba v postupu, ale zkoušel jsem to čtyřikrát a stále stejné hlášení :(

QIP pod neadmin účtem normálně funguje - co to přesně dělá a jsi si jistý že víš jak fungují profily qipu?

NHC fungovat nebude - utility které např. softwarově podtaktovávají procesor musí mít administrátorská práva nebo běžet jako služba. Takže buď najít alternativu co běží jako služba nebo přečíst díl III a diskuzi pod ním a spouštět NHC s jiným oprávněním z user účtu.

Zpět na články Přidat komentář k článku Nahoru