Jak zablokować C:> dla konta z ograniczeniami
Jak moźna zablokować dostęp do dysku C: dla konta z ograniczeniami /w taki sposób aby uźytkownik konta mógł uruchamiać zainstalowane na nim programy/???
:?:
:?:
Odpowiedzi: 7
Bardzo dziękuję za wyczerpujące odpowiedzi !!!
Pozdrawiam,
Jameson
:D
Pozdrawiam,
Jameson
:D
broch: Musialbys zabronic dostepu do wszystkich dostepnych programow ktore sa w stanie przegladac dysk. Faktycznie jest to niemozliwe
jest to moźliwe bo moźna zakazać instalacji nowych i ograniczyść dostęp do tych juź zainstalowanych lub systemowych programów :)
jest to moźliwe bo moźna zakazać instalacji nowych i ograniczyść dostęp do tych juź zainstalowanych lub systemowych programów :)
Poza tym moźna teź ograniczyć dostęp do cmd
Musialbys zabronic dostepu do wszystkich dostepnych programow ktore sa w stanie przegladac dysk. Faktycznie jest to niemozliwe.
ACL – Access Control List
Forma tabeli ktora "mowi" systemowi kto ma jakie prawa do okreslonych obiektow.
Kazdy ACL ma jedno lub wiecj access control entries (ACE) tzn wpisow dostepu (moja znajomosc polskiej datuje sie z czasow DOS'a) ktore zawieraja liste grup i uzytkownikow.
W linku który podałem napisałem juź źe:
Poza tym moźna teź ograniczyć dostęp do cmd :D
Aha co znaczy:
Nie jeśli system ..... ACL
I tak zadziała
PS
Ogranicza dostęp tylko przez explorer'a
Poza tym moźna teź ograniczyć dostęp do cmd :D
Aha co znaczy:
Nie jeśli system ..... ACL
I tak zadziała
hmm, juz pisalem o tym. Zmiana w rejestrze blokuje jedynie GUI Explorera. Sama partycja jest w dalszym ciagu dostepna.
Nie potrzeba to tego ekstra programow wystarczy wpisac
cd C:
w linii komand
Nie, w wypadku systemu plikow bez ACL nic sie nie da zrobic.
Nie potrzeba to tego ekstra programow wystarczy wpisac
cd C:
w linii komand
Nie, w wypadku systemu plikow bez ACL nic sie nie da zrobic.
Jeśli natomiast masz FAT to:
http://www.centrumxp.pl/forum/viewtopic.php?t=29900
http://www.centrumxp.pl/forum/viewtopic.php?t=29900
Mam w ten sposob skonfigurowane waszystkie stacje windows:
uzytkownicy maja prawo do odczytu:
root (C:), Program Files, Windows, swap (oddzielna partycja)
Zaleta jest kompletny brak wirusow.
Warunek: NTFS
Radze najpierw eksperymentowac na maszynie testujacej:
1. sciagnij z www.sysinternals.com program "regmon" (utworz skrot na desktopie, bedzie Ci latwiej analizowac dane)
2. utworz nowa grupe i nadaj jej prawa do odczytu wymienionych katalogow oraz zakaz modyfikacji zapisu
3. utworz nowego uzytkownika ktory bedzie wylacznie w tej grupie
4. Sprawdz czy serwis "Secondary logon" jest wlaczony – bedziesz potrzebowal su (Run As..)
5. zaloguj sie na konto nowego uzyrkownika
6. po koleji uruchamiaj aplikacje. Jesli ktoras sie nie wlaczy to
7. tupnij prawym przyciskiem na regmon i wybierz Run As.. wpisz login i haslo administratora
ustaw filter na zakaz zapisu i zaznacz "bledy"
8. uruchom palikacje ktora nie ladowala sie (np Adobe photoshop)
9. w regmon znajdz wszystkie galezie do ktorych Photoshop bezskutecznie probowal cos zapisac.
10. tworz regedit, znajdz galaz i zmnien prawa dostepu.
To tyle. Od tej pory uzytkownicy nie beda w stanie instalowac programow lub usuwac plikow z wymienionych katalogow.
Mozna rowniez zmienic prawo egzekucji na partycji na ktorej uzytkownicy maja prawo zapisu i w ten sposob nikt nie bedzie w stanie uruchomic programu ktory nie dokonuje zapisu do zakazanych partycji.
uzytkownicy maja prawo do odczytu:
root (C:), Program Files, Windows, swap (oddzielna partycja)
Zaleta jest kompletny brak wirusow.
Warunek: NTFS
Radze najpierw eksperymentowac na maszynie testujacej:
1. sciagnij z www.sysinternals.com program "regmon" (utworz skrot na desktopie, bedzie Ci latwiej analizowac dane)
2. utworz nowa grupe i nadaj jej prawa do odczytu wymienionych katalogow oraz zakaz modyfikacji zapisu
3. utworz nowego uzytkownika ktory bedzie wylacznie w tej grupie
4. Sprawdz czy serwis "Secondary logon" jest wlaczony – bedziesz potrzebowal su (Run As..)
5. zaloguj sie na konto nowego uzyrkownika
6. po koleji uruchamiaj aplikacje. Jesli ktoras sie nie wlaczy to
7. tupnij prawym przyciskiem na regmon i wybierz Run As.. wpisz login i haslo administratora
ustaw filter na zakaz zapisu i zaznacz "bledy"
8. uruchom palikacje ktora nie ladowala sie (np Adobe photoshop)
9. w regmon znajdz wszystkie galezie do ktorych Photoshop bezskutecznie probowal cos zapisac.
10. tworz regedit, znajdz galaz i zmnien prawa dostepu.
To tyle. Od tej pory uzytkownicy nie beda w stanie instalowac programow lub usuwac plikow z wymienionych katalogow.
Mozna rowniez zmienic prawo egzekucji na partycji na ktorej uzytkownicy maja prawo zapisu i w ten sposob nikt nie bedzie w stanie uruchomic programu ktory nie dokonuje zapisu do zakazanych partycji.
Strona 1 / 1