Obmedzenie moznosti zmeny hesla pre administratora

Dobry den, potreboval by som vediet, kde a ako viem nastavit, aby aj Administratory museli zadavat stare heslo pri zmene hesla uzivatela. Operacny system je Windows XP Professional, SP2. Pretoze teraz to funguje takto:
Uzivatel, ked chce zmenit svoje heslo, musi zadat povodne (stare) heslo a 2x nove. Avsak administrator moze menit heslo kazdemu bez toho, aby sa ho na stare heslo pytalo. ako to nastavit?

za kazdu pomoc vopred dakujem.

edit// priznam sa, nehladal som ani google-om ani v poradni, neviem podla akych klucovych slov by som podobny problem mal hladat

Předmět	Autor	Datum
Administrator musi zadavat sve stare heslo stejne jako kazdy jiny uzivatel, pokud si meni heslo pres… Jan Fiala 27.12.2007 10:47	Jan Fiala	27.12.2007 10:47
ide o klasicky problem: jeden program nejde rozbehat ani v jednom obmedzenom ucte, vylucne v adminis… 2laak 27.12.2007 11:59	2laak	27.12.2007 11:59
Podle mne jde jen o problem nastaveni prav na adresar, popr. na vetve registru, ktere program potreb… Jan Fiala 27.12.2007 12:19	Jan Fiala	27.12.2007 12:19
skusal som vsetky opravnenia, od Users az po absurdne Backup Operators. ani jeden nezabral, program… 2laak 27.12.2007 12:25	2laak	27.12.2007 12:25
http://technet.microsoft.com/en-us/sysinternals/def ault.aspx a nikoliv "admin práva", ale práva př… touchwood 27.12.2007 12:30	touchwood	27.12.2007 12:30
A konkrétně Process Explorer a Process Monitor (aka filemon a regmon) ----- Povolování se dělá přes… kmochna 27.12.2007 12:34	kmochna	27.12.2007 12:34
vdaka, usetrili ste mi jednu otazku :-p 2laak 27.12.2007 12:35	2laak	27.12.2007 12:35
prípadne spúšťať ten program cez Run As a dotyčný užívateľ o tom ani nemusí vedieť. deadhead 27.12.2007 20:53	deadhead	27.12.2007 20:53
dotyčný užívateľ o tom ani nemusí vedieť. akoze o tom ani nemusi vediet? da sa tato moznost nastavi… 2laak 27.12.2007 22:24	2laak	27.12.2007 22:24
runas je i příkaz ve Windows, a může se spouštět z batky. Ale je to k ničemu, jelikož tam musíš zada… MaSo 27.12.2007 22:29	MaSo	27.12.2007 22:29
nj, nanic :-\| 2laak 27.12.2007 22:32	2laak	27.12.2007 22:32
Nepovedal by som že je to celkom na nič, to heslo je potrebné zadať len pri prvom spustení. Potom si… deadhead 28.12.2007 00:58	deadhead	28.12.2007 00:58
A co když tam pak někdo přepíše ten Word na jiný program? Tak se mu taky spustí s admin právy? MaSo 28.12.2007 01:09	MaSo	28.12.2007 01:09
No, to je bohužiaľ pravda. Našťastie u nás v práci nikto editovať baťák nedokáže :-) Ešte na doplne… deadhead 28.12.2007 01:25	deadhead	28.12.2007 01:25
Ešte na doplnenie. Funguje to len na XP Prof. Funguje to i na Houmech,oprávnění lze nastavit i tam-… kmochna 28.12.2007 01:35	kmochna	28.12.2007 01:35
Přepínač /savecred prej funguje jen na XP PRO, doufám, že to je pravda, když to píšou v helpu. Nezko… MaSo 28.12.2007 01:42	MaSo	28.12.2007 01:42
Ach ano /savecred,špatně jsem četl. edit// červený hadr byl: nikto editovať baťák nedokáže kmochna 28.12.2007 01:44	kmochna	28.12.2007 01:44
to heslo je potrebné zadať len pri prvom spustení. tym padom je to uplne postacujuce. ak sa nabuduc… poslední 2laak 28.12.2007 10:58	2laak	28.12.2007 10:58
to není problém, to je vlastnost. A je to tak správně. ;-) touchwood 27.12.2007 11:17	touchwood	27.12.2007 11:17
Administrator heslo uzivatela nemoze zmenit, moze ho len resetnut, co je zasadny rozdiel na zamenu h… mkmt 27.12.2007 22:51	mkmt	27.12.2007 22:51
administrator muze heslo zrusit nebo zmenit. "zamena" je blbost net user franta 1234 /nastavi heslo… MM_tank 28.12.2007 02:58	MM_tank	28.12.2007 02:58
samozrejme, zamena bol preklep, myslel som zmena to co uvadzas prirodzene funguje, je to vsak reset… mkmt 28.12.2007 08:19	mkmt	28.12.2007 08:19
ak dany uzivatel pouziva EFS pride o vsetky kryptovane data, rovnako aj o vsetky data aplikacii, kto… mia 28.12.2007 10:53	mia	28.12.2007 10:53
zaujimavy nazor mkmt 28.12.2007 10:55	mkmt	28.12.2007 10:55

Administrator musi zadavat sve stare heslo stejne jako kazdy jiny uzivatel, pokud si meni heslo pres standardni dialog.
Pokud meni heslo pres spravu systemu, pak znalost stareho hesla nepotrebuje, ani to neni zadouci (uzivatel zapomene heslo, uzivatel odejde, ...)
K cemu by to melo byt?
Mate nesvepravneho admina, ktery se ozere a meni uzivatelum hesla?

ide o klasicky problem: jeden program nejde rozbehat ani v jednom obmedzenom ucte, vylucne v administratorskom. preto museli byt udelene admin prava aj pre obycajneho uzivatela. avsak som chcel zamedzit tomu, aby tento (admino-)uzivatel mohol menit hesla. teda to nijak nepojde? na PC su 2admin ucty.

Podle mne jde jen o problem nastaveni prav na adresar, popr. na vetve registru, ktere program potrebuje.

Zkouseli jste to pod uctem s pravy PowerUser?

skusal som vsetky opravnenia, od Users az po absurdne Backup Operators. ani jeden nezabral, program funguje jedine pod Admin uctom. proste prasarna, ale ja si nepomozem.

ako by som mal nastavit admin prava na adresar (ak mate malo casu, skusim odpoved vygooglit)? a takisto ako zistim vetvu registrov, ktora je potrebna na beh? a ako na jej pristup nastavim admin prava? vdaka za ochotu.

http://technet.microsoft.com/en-us/sysinternals/def ault.aspx

a nikoliv "admin práva", ale práva přístupu na adresář/větev registry. Zatím jsem snad až na jednu výjimku rozběhal úplně všechno pod User účtem.

A konkrétně Process Explorer a Process Monitor (aka filemon a regmon)
-----
Povolování se dělá přes vlastnosti priečinku /zabezpečení a registry normálka přes editor registrů.

vdaka, usetrili ste mi jednu otazku

prípadne spúšťať ten program cez Run As a dotyčný užívateľ o tom ani nemusí vedieť.

dotyčný užívateľ o tom ani nemusí vedieť.

akoze o tom ani nemusi vediet? da sa tato moznost nastavit na stalo? ja viem len o moznosti, ze sa vzdy, ked spustam program drzi shift + pravy klik > a potom Run As. ten program spusta dotycny vzdy sam...

runas je i příkaz ve Windows, a může se spouštět z batky. Ale je to k ničemu, jelikož tam musíš zadat admin heslo.

nj, nanic

Nepovedal by som že je to celkom na nič, to heslo je potrebné zadať len pri prvom spustení. Potom si ho už windowsy zapamätajú. A tak užívateľ síce môže vedieť že program sa spúšťa pod admin kontom, ale heslo k nemu nevie.

Príklad baťáku na spustenie Wordu. Dôležitý je tam ten parameter savecred.

%windir%\system32\runas.exe /user:administrator /savecred "C:\Program Files\Microsoft Office\OFFICE11\winword.exe"

A co když tam pak někdo přepíše ten Word na jiný program? Tak se mu taky spustí s admin právy?

No, to je bohužiaľ pravda. Našťastie u nás v práci nikto editovať baťák nedokáže

Ešte na doplnenie. Funguje to len na XP Prof.

Ešte na doplnenie. Funguje to len na XP Prof.

Funguje to i na Houmech,oprávnění lze nastavit i tam-viz hledání na Poradně.(jak pro .lnk tak i pro .bat a i jakýkoliv soubor)

Přepínač /savecred prej funguje jen na XP PRO, doufám, že to je pravda, když to píšou v helpu. Nezkoušel jsem to...

Ach ano /savecred,špatně jsem četl.
edit// červený hadr byl: nikto editovať baťák nedokáže

to heslo je potrebné zadať len pri prvom spustení.

tym padom je to uplne postacujuce. ak sa nabuduce dostanem k tomu PC vyskusam. dakujem pekne aj za priklad *.bat suboru.

to není problém, to je vlastnost. A je to tak správně.

Administrator heslo uzivatela nemoze zmenit, moze ho len resetnut, co je zasadny rozdiel
na zamenu hesla je vzdy nutna znalost povodneho hesla

administrator muze heslo zrusit nebo zmenit. "zamena" je blbost
net user franta 1234 /nastavi heslo na 1234/
net user franta * /umozni zvolit prazdne/

samozrejme, zamena bol preklep, myslel som zmena

to co uvadzas prirodzene funguje, je to vsak reset hesla zo vsetkymi dosledkami

t.j. ak dany uzivatel pouziva EFS pride o vsetky kryptovane data, rovnako aj o vsetky data aplikacii, ktore vyuzivaju krypto API

pre korektnu zmenu hesla je nutna znalost povodneho hesla

ak dany uzivatel pouziva EFS pride o vsetky kryptovane data, rovnako aj o vsetky data aplikacii, ktore vyuzivaju krypto API

jeho blbost

zaujimavy nazor

Zpět do poradny Odpovědět na původní otázku Nahoru