Zákaz instalace
Zdarec, lidičky poraďte mi někdo. Mám u zákazníka nastavenej komp se softem a potřebuju zamezit jakékoliv instalaci (i odinstalaci), popřípadě jakémukoliv neuváženému vrtání se v systému.Jsou tam Widle XP Home. Díky
A práva pro usera nestačí?
Právě že nestačí, protože stačí málo a LAMA to zas*** vším možným. Je tam i přístup na net a tak je tam další potenciální nebezpečí zavlečení čehokoliv ("Jak to není česky, já tomu nerozumím tak odklepnu YES a jede to dál")
nastav userovi práva user, dál můžeš pomocí policies nastavit defaultně zónu IE "vysoké zabezpečení" a zakázat změny, a hlavně zakaž zápis/create všude kde to není vyloženě nutné (pokud máš dobře napsané aplikace, stačí právo zápisu jen čistě v profilu uživatele.
U home budeš muset buď použít cacls.exe, nebo to nastavit v nouzovém režimu, případně si "dohackovat" kartu zabezpečení z WindowsNT (samozřejmě předpoklad je NTFS, ale FATku dnes používají jen staromilci
)
Staci. Nesmi to byt ucet s pravy "Spravce pocitace", ale ucet s omezenym opravnenim (USER). Pak nebude moct instalovat ani zasahovat do systemu.
Jen to chce jeste system souboru NTFS...
Opravte mě, pokud plácám nesmysly...
Nabootuje-li z live XP (BartPE) a pod. - nemůže si zákaz čehokoliv přenastavit (aspoň v Houmech)? Dotaz směřuje na Pavla z Craftcomu
nejen tím a nejen v XP Home. Ale můžeš nastavit BIOS aby startoval jen z HDD a opatřit jej heslem..
A přehodí-li na desce jumper do polohy CMOS reset?![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Nebo sežene-li si univerzální heslo do BIOSu (pokud se ještě používají...)
Šťoural je všehoschopný, zakazuje-li se mu něco
Tak tak. Pak lze zabránit škodám už jedině tím, že se postaví userovi za záda chlap s puškou.
Nabootuje-li z live XP, pohybuje se pouze v te spustene Live verzi. Takze po restartu do normlanich Windows je zase obycejnym omezenym userem.
Aby to mohl prestavit, musel by se vrtat manualne v systemovych souborech.
To sice jo, ale ono se dá i z live cd (BartPE/Reatogo) editovat i registry ve WinXP (i když ten systém neběží), takže by to šlo...
Pavel
Tady Pavel z Craftcomu: jak se slyšíme, Roger, Roger
Jo, když bude vědět jak, takže to bude nějakej geek nebo si najde velmi podrobnej návod, dal bych mu vysokou šanci že se mu to povede.
Pavel
A jak zabráníš tomu, udělá-li si instalaci třeba na jiném PC, pomocí (např. Total Uninstallu) všechno zloguje a "hotovou" instalaci (s)prostě překopíruje do toho chráněného PC?
Taková osoba pak už spíš nebude zákazníkem, ale bude mít sama zákazníky
. Ta univerzální hesla do BIOSu dneska s novějšími BIOSy už taky nějak nechtějí fungovat. Ono překonat se dá leccos, ale od určité míry nesnadnosti už to většina pokusníků vzdá.
Pokud si to nakopiruje do sveho profilu, je to jeho vec.
Ja to resim tak, ze clovek je pri prebirani pocitace zaskolen o tom, ze sam instalovat nic nesmi, podepise mi papir, na kterem je seznam nainstalovaneho software.
Takze pokud si neco nakopiruje do sveho profilu (protoze jinam zapisovat nemuze), jedna proti pravidlum firmy a je to vec vedouciho.
Pokud ten program musi neco kopirovat do adresaru jako je Program files nebo Windows, pak ma ten clovek smulu. Pokud potrebuje zapisovat do registru jinam nez HKCU, pak ma ten clovek smulu.
Mam tu sit s necelymi 60 pocitaci a zatim jsem nemusel preinstalovavat zadny a uzivatelum jede vse, co potrebuji.
Ano, takto by tomu mělo být. Bohužel skutečnost je (nejen v malých firmičkách) často naprosto jiná
Občas (jako fanda/amatér) jsem pozván k někomu (kamarádovi), že mu "něco nejede". Znáte to určitě všichni; říkáte si, že větší bordel jste ještě neviděli - ale vlastně se to opakuje pořád a pořád a pořád dokola...
Vemte Ghosta nebo true image a udělejte full zálohu. Pak ať si tam dělá co chce. jakmile příjdete příště, nahodíte obraz zpátky.
Ano, pokud je "zákaz instalace" z důvodu hledání blbuvzdorného řešení případných problémů se soukromým počítačem uživatele. Spíše mám ale z dotazu pocit, že se jedná o ochranu služebního PC před příliš aktivním uživatelem.
Nejdůležitější je dbát na dodržování pravidel (jak např. popisuje JaFi). Pokud to skřípe zde, restriktivním nastavením počítače se to prostě nezachrání.
Jako perličku sem hodím historku, kterou mi kdysi popisoval někdo na jednom herním serveru. Protože má doma pomalý internet, občas si zajde něco stáhnout k tátovi do práce. No a při té příležitosti mu tam nainstalil nějakého p2p klienta, který se dá ovládat mobilem (emule??) a sem-tam si s USB diskem zajde zkopírovat "výsledek". Tata nic neví, ikonka v systrayi (prý) není...
Tak to je boží.
Tatovi reálně hrozí "hrubé porušení pracovní kázně" a s tím spojené radosti. Hlavně že synátorovi to jede rychle. To bych si asi něco udělal. Udělal bych si kyj a zabil bych ho. 
![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Zkusím ti poradit něco, co by reálně mohlo fungovat (=osobně vyzkoušeno a funguje, ale na WinXP Pro). Pokud umíš anglicky, najdi si něco k EWF (enhanced write filter). Je to "vypreparováno" z Windows XP Embedded, jedná se o filtr, kterej přesměruje zápis na disk (např. C:) do paměti nebo na jiný oddíl. Pokud přesměruješ do paměti, pak po restartu se změny "zahodí" a systém je pořád ve stejným stavu (tenhle filtr se dá dočasně vypnout, když do toho polezeš ty).
To ale předpokládá, že se vypne např. logování, swap bude na D:, temporary internet files na D:, dokumenty na D: atd (myslím že chápeš). Není to řešené pro všechny, ale za jistých okolností bude fungovat.
Pavel
Mělo by to být tady: http://www.mp3car.com/vbulletin/showthread.php?t=37 078&highlight=ewf
Pavel