uživatelský účet - správný postup
Zdravím,
Mám takové menší dilema:
Jsem v situaci, že potřebuju nakonfigurivat a nainstalovat software na cca 10 strojů s předinstalovanými Windows Vista. Prvně mám v úmyslu vytunit (a nainstalovat programy) jeden účet Petr_70, v této chvíli s právy administrátora, dočasně zaktivovat účet Administrator a účtem Petr_70 přepíšu default usera (všechny případné další účty budou požadovat stejné nastavení).
A teď jak "deprivilegizovat" můj původní vytuněný účet Petr_70:
1) provést to přes uživatelské účty, tj. změnit typ účtu na "Standard user"
nebo:
2) účet Petr_70 smazat a následně jej znova vytvořit, již s nastavením podle Default usera.
Zdánlivě se vám může zdát tahle otázka nesmyslná ale... před časem tady psal touchwood, že pouhá změna typu účtu může přinést jisté problémy např. proto, že v HKCU větvi registrů můžou být nějaká nastavení platná jen pro admina, mohou být specificky nastavená práva apod.
Proto si myslím, že správně by to mělo být podle bodu 2 , nicméně jak jsem měl možnost sledovat, běžně to mnozí dělají způsobem podle 1)
Děkuji za upřesnění a názory.
Vse muzes udelat prikazem NET USER ...
Nejlepší je tvořit Default Usera z čistého nového profilu (původního def. usera), rozhodně bych ho třeba nedělal z žádného účtu, kde se někdy něco instalovalo.
Slušné programy si uživatelské nastavení v absolutní cestě na disk neukládají, takže když chceš mít víceuživatelské prostředí, přizpůsob tomu volbu programů. Například IE = vhodná aplikace pro víceuživatelský počítač, Firefox = nevhodná.
Tím nechci říct že by to s Firefoxem nešlo, jen že budeš muset udělat pár úprav a obezliček.
Firefox obsahuje podporu např. pro instalaci pluginů pro všechny uživatele, ale nesmí se pak kopírovat profil s již nastaveným FF, protože to dělá binec (a když, tak je třeba smazat profil FF z default usera), je třeba přidat práva na adresář a registry, kvůli aktualizacím..
teoreticky má být jedno co jsi za uživatele. instaluješ jako admoš, používáš klidně jako jiný user, nastavení je samozřejmě jen tvoje. jenže ms bohužel i z programátorů vychoval nemyslící "pseudoadminy" - a jejich výtvory občas pod běžným=omezeným účtem nejedou.
vyzkoušíš si sám, kdyžtak povolíš userům zápis do program files, stačí jen do "C:\Program Files\hloupý_sw"
zvlášť zatvrzelé případy potřebují přidat oprávnění pro zápis i do hklm větve registrů, kam normálně user nemůže:
ty máš home? to si radši pořiď další dočasný účet "admin" který bude aktivní.
ale představa že někde ve firmě je 10 instalací "home" je dost šílená.
nekopíroval bych vytuněný účet s cílem rozsévat nastavení aplikací a .ini soubory. ke konfliktům s právy může dojít, takže si práci možná ani neušetříš, a tvé jediné skvělé nastavení bude pro někoho jiného otravná blbost. pokud ji navíc díky špatným právům nebude moci změnit, buď si přiděláš práci se servisem, nebo bude hledat cestu jak to změnit.
je to dobré pro vytunění uživatelského nastavení windows, ale u aplikací a nedejbože uživatelských dat umístěných též v profilu už to tak báječné nevidím (kromě "řešení" chmod 777).
Mě ani tak neděsí představa těch 10 HOME instalovat (obraz to jistí), ale pak to spravovat
>> vyzkoušíš si sám, kdyžtak povolíš userům zápis do program files, stačí jen do "C:\Program Files\hloupý_sw"
zvlášť zatvrzelé případy potřebují přidat oprávnění pro zápis i do hklm větve registrů, kam normálně user nemůže:
[HKEY_LOCAL_MACHINE\SOFTWARE\hloupý_výrobce_sw] <<
Ako povolim zapis do vetvy registru?
To si takhle klikneš v editoru registry pravou myší a vybereš oprávnění.
No pro nás nic nového, ale vysvětlete to chudákovi uživateli, který vůbec neví co je HKCU (natožpak kde se tam nastavují práva), kterému to pod jeho admin účtem funguje a když pod tlakem "naší osvěty" mu to v user účtu nepůjde buď vůbec anebo s problémy?
Chudák uživatel (doma) si vytvoří omezený účet a když to něco začne kvákat, tak použije run as s admin heslem napsaným na ledničce na papírku. HKCU patří uživateli, HKLM patří administrátorovi, jsou i klíče kam se nedostane ani admin, pouze system a ještě ne standardní cestou (ne reg a regedit).
jo, jenže tady není chyba u uživatele, ale u nepoučených programátorů aplikací pro windows, vychovaných "admin mode only".
bohužel je to tím, že po instalaci windows se default nabízí založení dalšího admošského účtu - takže pokud uživatel neprojeví snahu, k user účtu se nikdy nedostane.
a řekněme si na rovinu - kdo za to může? správně: ten škaredý výrobce toho hamburgerového systému.
já to dělám následovně:
1. u domácích PC:
- nainstaluju aplikace (uživatelsky konfiguruju jen některé z nich, převážně asociace a přesun ikon do "all users")
- nastavím si vzorový neadmin účet (plocha, ikony, nastavení
- zkopíruju do default usera
2. u firemních PC:
- nakonfiguruju neadmin uživatele
- zkopíruju do default usera
- zařadím PC do domény a vyčkám, až se na něj přes policies nahrnou všechny aplikace
Pánové děkuji vám moc za reakce..
Takže jestli jsem vás správně pochopil, tak opravdový "čistý" postup by měl vypadat nějak takhle:
Mám PC s Win Vista - jen systém nic nainstalováno!!
1) vytvořím neadmin účet a přes RunAs provedu všechna systémová nastavení, úpravy, nastavení plochy apod.
nebo
výše uvedené úpravy/nastavení provedu přímo ve výchozím (vytvořeném při Instalaci) účtu typu Administrator následně vytvořím neadmin účet, který "přepíšu" (zkopíruju) již nakonfigurovaným účtem typu Administrator.
2) Tento konfigurovaný neadmin účet zkopíruju do default profilu.
3) Lhostejno odkud (účet, oprávnění) nainstaluju aplikace (Antivir, Antispyware, Office...) a připadně pro jednotlivé účty doladím podle potřeby - povolit zapis do adresáře antiviru, zástupce na ploše apod.
Může to takhle být? Nějaké doplnění/připomínky?
a ještě prosím jedna podotázka:
Jak tohle funguje? kopíruje se ze serveru pouze zástupci a nastavení nebo komplet instalace?
Děkuji ještě jednou.
Ne.
ad 1) Neadmin účet a Runas jsou věci, které jsou proti sobě. Když použiješ runas, použiješ JINÝ profil (přesně profil uživatele, kterým se v runas autentikuješú, než profil přihlášeného uživatele. Takže správný postup je: vše nastavit jako ten přihlášený uživatel, co nefunguje, je potřeba opravit (nastavit práva)
ad 3) když budeš instalovat programy až poté, ztratíš možnost je defaultně předkofigurovat, což je velké mínus. Nezapomeň, že rozdíl domácí vs. firemní počítač je v tom, že ve firmě můžeš použít vzdálenou správu (policies, loginskripty apod.), kterými můžeš uživatele kdykoli "ladit". Doma ti nezbude nic jiného, než pro každého nového uživatele projít nastavení, což bývá dost opruz a mnoho lidí to nakonec odradí tak, že nakonec používají jen jeden účet.
Co se týká tvého dotazu, tak to funguje tak, že si v AD nastavíš skupiny, kterým se má instalovat SW (ve formě MSI balíků) a těm se pak po synchronizaci při dalším restartu (ještě před přihlášením) automaticky nainstaluje. MSI se dá "předkonfigurovat" několika způsoby (od editace vlastního MSI balíku, nebo vytvořením tzv. "response file" (soubor MST)). Tomuto se říká přiřazená instalace, druhou možností je pak volitelná instalace, kdy balíky se prezentují v kolonce "přidat software" v ovl. panelu přidat/odebrat programy (za předpokladu, že admin tomuto uživateli nastaví "viditelnost" tohoto balíku). Tam si pak může libovolný uživatel (nemusí být admin) vybrat SW a nechat si jej nainstalovat. Zástupce a výchozí nastavení pak samozřejmě zajišťuje konfigurace MSI balíku, která samozřejmě funkčně na tyto věci pamatuje.
Ještě jsem zapoměl dodat, že začátku celého postupu by měla předcházet instalace SP2 a dalších aktualizací, ale to je už součást oné konfigurace, uvedené v bodě 1)...
správný postup je slipstream SP3 na instalační CD
Pak se takovými podružnostmi nemusíš zabývat.
touchwood:
ad 1) Promiň, ale v tomhle co píšeš nemám moc jasno... píšeš vše nastavit jako ten přihlášený uživatel. Fajn, ale jak to udělat, když na 80% věcí jednoduše nemám v neadmin účtu práva?
V tomto případě to jde IMHO jedině tak jak jsem popsal v "ad 1b": prostě všechna nastaveníprovést ve výchozím Admin-typu účtu a pak vytvořit pracovní-neadmin účet a nastavený/vytuněný profil onoho admina do něj zkopírovat.
Anebo ještě lépe jím přepsat default profil a až následně vytvořit (svůj) pracovní-neadmin účet.
ad 3) Já bych s tebou v zásadě souhlasil, hlavně v tom, že ztratím možnost je defaultně předkonfigurovat. Já jsem ale dal na názory tvých kolegů Vladimira a Ledniho brtnika, kteří jsou jiného mínění - kopírovat default profil upravený/čistý bez jakýchkoli instalací (viz názory výše).
Já bych se v tomto přikláněl pro řekněme "zdravý kompromis". Do default profilu zkopírovat nastavení účtu, který je kompletně nastavený i se základními aplikacemi, které budou používat všichni, tj. ty zmíněné Office, antiviry, antispyware...
Jinak ti děkuju za tvoji ochotu a čas, jakožto i objasnění instalací ve firemní síti/doméně...
Nevím proč z toho dělat vědu. Účty jsou housky na krámě, spotřební zboží, ne něco nad čím je potřeba vymýšlet jestli udělat jeden, dva, nebo tři.
Pod default administratorem nainstaluj aplikace, pak vytvoř neprivilegovaný účet, pod tím všechny aplikace nastav, profil toho účtu pak zkopíruj do default usera. A je to.
Edit: jestli máš nějaký program co pod userem nejde nastavit, nastav ho pod adminem. Jenom ten. Beztak nebude umět uživatelské nastavení ve smyslu Windows profilů.
ad 1) problém bývá v některých aplikacích, které kopírování profilů nerady. Typický příklad je Firefox, který, pokud má doplňky naistalované stylem "pro všechy uživatele," dělá psí kusy. Totéž např. dělá TotalCommander, který si do registry zapíše absolutní cesty do profilu prvotního uživatele (admina). Věř mi, že se téhle problematice věnuju už nějaký pátek
ad 3) viz Vladimírova poslední reakce.
IMHO. cesty se dají nahradit relativními nebo zaměnit. Ale jestli to ten program akceptuje.
----
Přiznám se, že z této akce (viz. obrázek) bych dostal osypky (hromadné nahrazení Balian za PEPA).
to lze udělat, když víš kde, běžnému uživateli bych tohle rozhodně nedoporučil.
Navíc, podobný nástroj používám taky, ale rozhodně to není něco, nač by měl být člověk hrdý
Firefox a Totalcommander jsou zprasené a zpátečnické aplikace. A shodou okolností jsou v podnikových sítích škůdci č.1, protože co si asi lidé tahají na fleškách, bez čeho se "nemůžou obejít". No a pak se diví, že admini zakážou flashdisky...
Hmm... TC máme koupený v multilicenci a distribujeme jako MSI balík
Zpraseny a zpatecnicky je hlavne Windows a dalsie MS vytvory. Vsetko ostatne su len nasledky debilizmu v MS.
P.S. a napisat ze TC je skodca a pouzivat pri tom dementny prieskumnik ktory robi autorun virov aj ked je autorun zakazany, tak to je fakt uz na zamyslenie sa nad sebou ze jak mozes taku vec vobec vypustit do sveta. TC ti vir z flashky sam od seba nespusti. Dementny windows aj s dementnym prieskumnikom ti vir z flashky sam od seba spusti. Tak kde je chyba? V TC? No urcite.
P.S.2. umiestnenie config suborov TC sa da pri instalacii nastavit, nie je to sice standardne ani multi-user friendly, ale mozes to brat tak ze vsetky nastavenia TC su typu admin-only, a user nema vobec nic v nastaveniach TC menit (a prava na citanie config-suboru ma aj user). Neni s tym ziaden problem.
Ale ale jistě, dnes jest středa.
On je Totalcommander jediný commander co existuje? Free Commander je zadarmo a nemusejí ho uživatelé pirátit. Ne každá firma chce kupovat multilicenci nebo se administračně patlat s tím Total Reliktem, donedávna udržovaným pro Delphi 1.0 pro Windows 3.11.
Edit: tak teď už tomu rozumím - nastavení TC jsou jen pro adminy, třeba nastavení jaké jsou poslední otevřené taby, to je vyloženě admin only, to chápu.
Protentokrát to stačí...
Díky moc vám všem za názory.