Jedna otázka k článku "Pracujeme s neprivilegovaným účtem II"

Dobrý den,
Měl bych prosím jednu doplňující otázku k sérii článků "Pacujeme s neprivilegovaným účtem" - konkrétně k dílu 2, kde je podobně popsán postup kopírování uživatelských profilů.

Abych to přesně pochopil: nebylo by jednodušší než absolovovat celou tuto proceduru s převodem práv jednoduše vytvořit další účet skupiny Administrators a ten můj stávající jednoduše změnit (snížit) na uživatelský/neprivilegovaný?

Ptám se pro úplnost, zda k výše v článku uvedenému postupu je nějaký zvláštní důvod, který mne třeba unikl. Nemělo by tomu tak být...

Děkuji za odpovědi a doplnění .

Předmět	Autor	Datum
Teoreticky to možné je, nicméně se to nedoporučuje, třeba proto, že v HKCU větvi registrů můžou být… touchwood 23.09.2008 16:47	touchwood	23.09.2008 16:47
Ptám se pro úplnost, zda k výše v článku uvedenému postupu je nějaký zvláštní důvod, který mne třeba… Vladimir 23.09.2008 16:49	Vladimir	23.09.2008 16:49
Předně vám děkuji za odpovědi :-) To Vladimir: Takhle jak píšete to je ve Windows 2000, ale Win XP… Petr_70 23.09.2008 16:55	Petr_70	23.09.2008 16:55
Windows XP profesional mozna, u Home verze neni ucet administrator vubec a stava se jim automaticky… JR_Ewing 23.09.2008 17:46	JR_Ewing	23.09.2008 17:46
on tam samože je, jen je defaultně disablovaný pro běžný běh Windows. V nouzáku je normoš dostupný..… touchwood 23.09.2008 20:14	touchwood	23.09.2008 20:14
trochu jinak: musí existovat nějaký účet typu "administrator", další vytvářené účty mívají předvolen… lední brtník 23.09.2008 17:49	lední brtník	23.09.2008 17:49
Win XP - pokud vím - při instalaci vyžadují vytvoření ještě jednoho (defaultně typu Administrátor) ú… Vladimir 23.09.2008 18:16	Vladimir	23.09.2008 18:16
Měl bych ještě prosím doplňující otázku ohledně "default profilu" Jde přesně o to nastavení oprávně… Petr_70 23.04.2009 14:12	Petr_70	23.04.2009 14:12
default profil je "jen" šablona, při vytváření nového profilu jsou práva kopírovaných souborů a stro… touchwood 23.04.2009 15:03	touchwood	23.04.2009 15:03
já to nevyplňuju proto, že netrvám na zachování původních (administrátorských) práv k původním soubo… lední brtník 23.04.2009 15:14	lední brtník	23.04.2009 15:14
Ahoj, provedl jsem to jako Brtník, tedy nevyplnil jsem to poslední políčko k právům. Vše mi šlape ja… Redy71 26.04.2009 10:24	Redy71	26.04.2009 10:24
zkontroluj kde ti ty fotky leží, jestli jde o normální adresář d:\fotky, anebo default umístění souv… lední brtník 26.04.2009 12:03	lední brtník	26.04.2009 12:03
HDD mám rozdělen na dva oddíly a fotky mám samo na tom druhém kde není nainstalován systém. K proble… Redy71 26.04.2009 12:28	Redy71	26.04.2009 12:28
jak jsem uved, chce to zkontrolovat přístupová práva k adresářům. u xp home je to průser, tam jdou o… poslední lední brtník 26.04.2009 14:02	lední brtník	26.04.2009 14:02

Teoreticky to možné je, nicméně se to nedoporučuje, třeba proto, že v HKCU větvi registrů můžou být nějaká nastavení platná jen pro admina, mohou být specificky nastavená práva apod.

Ptám se pro úplnost, zda k výše v článku uvedenému postupu je nějaký zvláštní důvod, který mne třeba unikl

Důvodem proč jsem to napsal takhle je, že velké množství lidí používá pro práci přímo built-in účet Administrator - a u něho vámi popsaná "deprivilegizace" udělat nepůjde. Situace se pak nekomplikuje a postup je univerzální pro všechny..

Předně vám děkuji za odpovědi

To Vladimir:
Takhle jak píšete to je ve Windows 2000, ale Win XP - pokud vím - při instalaci vyžadují vytvoření ještě jednoho (defaultně typu Administrátor) účtu, pod kterým vás standardně přihlašují.

Windows XP profesional mozna, u Home verze neni ucet administrator vubec a stava se jim automaticky ucet vytvoreny pri instalaci

on tam samože je, jen je defaultně disablovaný pro běžný běh Windows. V nouzáku je normoš dostupný...

trochu jinak: musí existovat nějaký účet typu "administrator", další vytvářené účty mívají předvolenou volbu "správce", ale volba omezený účet už není zašedlá.
xp home, které originálního admoša nezobrazují, potřebují vytvoření ještě jednoho účtu "správce" a pak teprve dovolí vytvářet omezené účty. samozřejmě typ účtu lze dodatečně změnit.

ad kopírování profilu:
tak jak je to tady naznačeno s vyplněným dolním řádkem "permitted to use / povoleno používat uživatelem" slouží pro případ kdy chci vyrobit druhého uživatele s právy ke stejným položkám.
já toto používám bez dolního řádku, pouze nastavím celé vzorové prostředí pro nějakého (pomocného) uživatele, a pak tímto jeho profilem přepíšu výchozí "default user". mám tak zajištěno, že všechny nové vzniklé účty se vytvoří na základě tohoto mého vzoru.

Win XP - pokud vím - při instalaci vyžadují vytvoření ještě jednoho (defaultně typu Administrátor) účtu, pod kterým vás standardně přihlašují.

To je pravda, ale setupy (zejména OEM výrobců) jsou různé a setkal jsem se i s notebooky které měly od výrobce nastavený Autologon na učet Administrator (Windows XP). Prostě to beru tak, že je určitě - i když třeba jen zanedbatelné - procento, které pod XP pracuje pod built-in Administratorem.

Další výhodou postupu je, že po úspěšném absolvování kopírování profilů uživatel hlouběji pochopí, jak profily fungují a že účet a profil není jedno a totéž.

Měl bych ještě prosím doplňující otázku ohledně "default profilu"

Jde přesně o to nastavení oprávnění dole s názvem "Povoleno používat uživatelem".
Kolega výše říká nevyplňovat nic, ale...
ono nejde jen o přístup k souborům/adresářům, ale i o nastavení v registru, takže tím, že to nechám si můžu "zadělat" na pozdější problémy se spuštěním/funkcí některých programů běžících pod neprivilegovaným účtem.

A teď jde o to, jakou skupinu při kopírování do "default user" nastavit. Odborníci z Microsoftu radí nastavit "Everyone":
http://support.microsoft.com/default.aspx?kbid=319 974

Já bych ale řekl, že logičtější by bylo nastavit "Users", tahle skupina v seznamu chybí (??), tak spíše "Authenticated Users".

Poradíte jak by to mělo být správně pro spolehlivou funkci programů běžících pod uživatelským oprávněním, (tedy pro ty uživatele co budou následně vytvořeni a přihlášeni).

Děkuji.

default profil je "jen" šablona, při vytváření nového profilu jsou práva kopírovaných souborů a stromu registrů stejně modifikována.

já to nevyplňuju proto, že netrvám na zachování původních (administrátorských) práv k původním souborům.
pokud se mezitím objevily v profilu nějaké uživatelské soubory, buď si je zkopíruju ručně a případně opravím práva i pro obyčejného usera (nechci aby pracovní účet byl správce). nebo už mám dávno uživatelská data odstěhovaná mimo profil, a nehodlám se dopouštět jakéhosi křížení práv mezi uživateli - tak dole nic nevyplňuju.

jestli byl můj uživatel ledni_brtnik původně s admošskými právy a mám ho už vytuněn, přihlásím se jako jiný správce (třeba administrator) a brtnikem přepíšu default usera. tím mám nastavení podle mě pro všechny od teď vzniklé uživatele, na staré účty to nemá vliv. brtnikovi pak nastavím jen usera - a pracovní účet je zabezpečen.
já to dělám hlavně kvůli výchozímu nastavení windows, neřeším tím práva k položkám mezi profily.

(samozřejmě to nemusím kopírovat jen do default user, lze i do vybraného nejlépe právě vytvořeného účtu, ale to není můj cíl)

Ahoj,
provedl jsem to jako Brtník, tedy nevyplnil jsem to poslední políčko k právům. Vše mi šlape jak má až na to že když jsem přihlášen pod neprivilegovaným účtem tak nesmažu žádnou fotku ( zoner 11) nevymažu žádnou písničku (totalcomander) pokud tyto programy nespustím jako správce. Zkoušel jsem je odinstalovat a opět nainstalovat doufaje že bude někde políčko : používat pro všechny uživatele. Nic jsem nenašel.

Jak dál? děkuji za radu.

zkontroluj kde ti ty fotky leží, jestli jde o normální adresář d:\fotky, anebo default umístění související přímo s profilem uživatele, např. C:\Documents and Settings\xyz\Dokumenty\Obrázky - to by byla jasná chyba.
v microsoftí terminologii se zviditelňovaným dokumentům v profilech uživatelů říká tuším "veřejné" nebo "sdílené" - to je jedna z blbostí které nepoužívám a ihned mažu.

práva k adresářům* se sice dědí, nicméně pokud přesunu původní ...\Dokumenty\Obrázky někam jinam, původní práva jsou přesunuta s adresářem, dokud to ve vlastnostech (zabezpečení a sdílení) nenastavím jinak.
ale pokud ten adresář na nové místo kopíruju, tehdy se projeví dědičnost a přístupová práva se nastaví podle nového cílového místa.
anebo nové cílové místo vytvořil účet administrator, a ty jako jiný uživatel redy71 k němu zdědíš jen obecná práva (třeba jen číst).
*) frikulínsky: ke složkám

u win-profi práva ve vlastnostech lehce ověříš (nenastavují se k jednotlivým fotkám, ale k jejich adresářům nebo k adresářovému stromu), u zkriplené verze home běžně nejdou práva vidět. u nich je možné tyto vlastnosti vyvolat a změnit třeba v nouzovém režimu.

HDD mám rozdělen na dva oddíly a fotky mám samo na tom druhém kde není nainstalován systém. K problemu se vrátím jen co se dostanu domu z práce. Zatím děkuji.

jak jsem uved, chce to zkontrolovat přístupová práva k adresářům.
u xp home je to průser, tam jdou oprávnění vypsat jen v příkazovém řádku (cacls). anebo naběhnout do nouzového režimu - a ve vlastnostech zkontrolovat/rovnou opravit přiřazení zabezpečení - profi to umí zobrazit automaticky.

našel a vyzkoušel jsem teď i postup přes registry, jak znásilnit home na "profi" se zobrazením zabezpečení, ale vřele nedoporučuju, je to risk. existoval bezpečnější postup s doinstalováním karty zabezpečení ze starých windows, anebo ACLViewSetup.exe

Zpět do poradny Odpovědět na původní otázku Nahoru