vytvorenie obmedzeneho konta
Zdar!
Mam WXP SP2, potrebujem vytvorit uzivatela ktory bude mat len velmi obmedzene prava..to take aby nemohol prehladavat disky, aby windowsacky disk mohol maximalne prezerat (ale nie Plochu a Dokumenty inych userov).
Proste aby po nalogovani na ten ucet mohol robit so svojou plochou, dokumentami, internetom a tak.
Vytvoril som usera X, pridal ho do skupiny Y. Ale nasledne nevidim nikde ako na tu skupinu nastavit obmedzenia.. tak ako to docielit ?
Dik
a cetl jsi si ten miniserial - Bezpecnost na internetu: pracujeme s neprivilegovanym uctem? (viz tabulka vpravo - clanky)
Bezpečnost na internetu: pracujeme s neprivilegovaným účtem (II)
pravy klik na tento pocitac -> spravovat -> uzivatelia a skupiny
uživatel x se nepřidává do skupiny y, ale rovnou při založení do skupiny s omezenými právy (v anglických win je to users). ti už mají default omezený přístup do adresářů disku a nemohou měnit leckterá nastavení.
pokud potřebuješ superomezení, dej toho uživatele do skupiny "guests" - mám pocit že jediné co může je přihlásit se do windows.
jemnější omezení pro uživatele/skupiny je třeba v zabezpečení adresářů u xp profi, anebo pro omezení chování přes gpedit.msc - tady ale pozor abys něco nezměnil všem uživatelům včetně administrátora. běžně to umístění do users postačuje, viz odkazy na zdejší články.
no maximalne ma zakazany My Documents.. nie ostatne disky (particie
)
co tu piste som skusil...
proste treba mi povedat co kde kliknut aby sa to spravalo ako chcem, ale mam pocit ze ako to studujem neda sa to.
Já moc nechápu co přesně chceš, ale řeší se to na úrovni NTFS. jestli máš disk D:, který chceš aby byl userovi X nepřístupný, tak musíš kliknout na vlastnosti - zabezpečení a tam to na úrovni skupin nebo uživatelů řešit.
jo presne toto.. aby vytvoreny user nemohol ist na ine disky, ak oje ten kde je Windows.
Ale kde kliknout, klikam vsade a nikde nevidim "Zabezpeceni" iba ak mas na mysli:
pravy klik na nejaky disk, Vlastnosti , Hardver , oznacit fyzicky disk, Vlastnosti, Policies :
wsdasd.JPG
cs
platí i pro nastavování zabezpečení na místním disku
PRESNE TOTOK som potreboval.
Vdaka Vladimire,
navrhoval by som to len okrajovo spomenut v tych clankoch co si napisal
No tak to by tam musela být rovnou celá nápověda Windows /MSDN...
Jinak teď si můžeš nastavovat práva kde libo, složky, disky, tiskárny...
jo jo.. lenze som pocul ze ked mi dakto vyberie disky a strci do ineho PC, vsetky tieto prava sa vymazu .. cize ak by doslo ku kradezi tak je to zabezpecenie na prd... alebo uz len kryptovat particie ?
Práva se sami nevymažou - jen se dají převzít. Ano, řešením je šifrovaní.
mozes objasnit presnejsie to prevzazie ?
cs
Podmínkou je Administrátorský účet (či účet, který k tomu má oprávnění), nebo fyzický přístup k disku/pc.
EDIt// ale aby jsi si to špatně nevykládal, tak pokud ti nikdo nečmajzne disk z kompu a správně nastavíš oprávnění - user se "do systému" nedostane.
no tak to mi fungovalo len na samostatne zlozky.
teraz potrebujem takto: mam 2och uzivatelov pre nazornost user "Ja" (spravca) a "On" (nieco take ako host).
uzivatel Ja ma pristup ku vsetkemu - neriesim. Uzivatel On bude pouzivat PC len sem tam, preto potrebujem aby sa nemohol dostat k mojim datam na disku (C:). Tak som nastavil na cely disk v Properties->Security tak, ze som pridal uzivatela "On" (Pocitac\On) a zaskrtol vsetky DENY.
Funguje to ze, uzivatela On nepusti na disk (Access denied), ale nespusti to firewall, na ploche vytvorim zlozku a nechce ju ani pre menovat a tak. Tak som nastavil na Program files prava Allow pre "On".
Cize otazka znie preco to nejde (pristup k Prg files,..) preco Desktop sa neda vyuzivat?
Vyplyva mi z toho ze Zakazy maju vyssiu vahu ako povolenia, cize ked je cely disk zakazany, tak mozem pridavat vynimky na jednotlive priecinky, i tak to nepomoze.
Takze ake je riesenie? Dik
tak co ludia ako si chranit data... ta ochrana NTFS co pisete v clanku (ii.) je akurat proti vymazaniu ale dotycny data moze prezerattt... daky sposob musi byt..
no, jestli máš před sebou doopravdy xp professional a ne home (a není povoleno zdegenerované zjednodušené sdílení), pak se můžeš s právy k adresářům vyřádit
ved toto som robil...
ale ked nastavim Mistni disk C: na DENY (pre usera On) tak uz hoci nastavim Program files na Allow tak hlavne slovo ma deny, tj nepojde cely disk (windows aj enjake sluzby nabehnu)
Právo Deny má opravdu v NTFS vyšší prioritu, proto je třeba s ním zacházet opatrně. Nejlepší by asi bylo někde v knize nebo na internetu si nastudovat něco o právech v NTFS obecně.
ale nemůže, vůbec se do těch adresářů nedostane. viz obrázek s právy - možností k nastavení je dost. jinak opravdu platí že právo zákazu je vyšší než povolení, ale to už jsi zjistil.
mohl bys zhruba načrtnout co vlastně vyrábíš: chráníš systémový disk nebo datový? jen privátní dokumenty proti čtení nebo komplet celý disk? máš systém a data na oddělených discích, v rozumných adresářích, nebo je všechno na jednom nerozděleném hnoji, a teď nejde pro ty adresáře nastavit rozumná pravidla?
no uz som disk rozdelil, pretoze asi ine vychodisko neni.
v systemovom disku (C:) zakazem pristup ku komunikacnym programom (adresarom) - email, icq...
a druhy disk (D:) dam cely DENY...
no nic no, i tak vdaka