MODERATORÓW PROSZĘ O ZAMKNIĘCIE TAMATU, A USERÓW O ODPOWIEDZI NA http://www.centrumxp.pl/forum/viewtopic.php?p=174742#174742

wszystko się da
przecierz microsoft jakimś sposobem dał nne ogranczenia grupie gość a inne uźytkownikom, a jeszcze inne Uźytkownikom zaawansowanym!! gdziś w głębi katalogu systemowego istnieje jakiś plik odpowiedzialny za daną grupę i jej ograniczenia
musi się to dać znaleźć i tworzyć własne grupy z danymi przywilejami na WINDOWS XP PRO patycja NTFS

2soba:

oto dowód, źe tak moźna:
link: http://www.microsoft.com/poland/windowsserver2003/opis/dlaczego/top10w2k.mspx
moźna przeczytać:
"Administratorzy mogą wykorzystywać zasady grupy do definiowania ustawień i określania czynności dozwolonych dla określonych uźytkowników i komputerów."

Myślałem źe jesteśmy w forum Windowsa XP,a ty podajesz linka do Windows Serwer 2003...czegoś tu nie kumam...
No bo jeśli Windows Serwer 2003 to prawda....prawda...

oto dowód, źe tak moźna:
link: http://www.microsoft.com/poland/windowsserver2003/opis/dlaczego/top10w2k.mspx
moźna przeczytać:
"Administratorzy mogą wykorzystywać zasady grupy do definiowania ustawień i określania czynności dozwolonych dla określonych uźytkowników i komputerów."

oto dowód, źe tak moźna:
link: http://www.microsoft.com/poland/windowsserver2003/opis/dlaczego/top10w2k.mspx
moźna przeczytać:
"Administratorzy mogą wykorzystywać zasady grupy do definiowania ustawień i określania czynności dozwolonych dla określonych uźytkowników i komputerów."

Nie ma moźliwości, aby za pomocą Zasad grupy w bezpośredni sposób powiedzieć tego uźytkownia dane ograniczenie dotyczy ,a tego nie (oczywiście jeśli nie mówimy o domenie tylko o kompie w WORKGROUP)
Edytując zasady grupy tworzony jest plik Registry.pol w %SystemRoot%System32GroupPolicyMachine: ustawienia dla komputera,a w SystemRoot%System32GroupPolicyUser: ustawienia dla Uźytkownika.
Moźesz natomiast zastosowanie reguł zawartych w tych plikach regulować poprzez ustawienie prawa odczytu tych plików. Więc jesli nie chcesz aby administratorów obowiązywały ograniczenia nie dajesz im prawa odczytu do tego pliku.
Kolejną metodą jest następująca: podglądasz plik; registry.pol np. notatnikiem i widzisz źe są to zwykłe wpisy do rejestru. Większość z nich znajduje się w:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Eksportujesz klucze i odpalasz je na kontach na których mają być ograniczenia i dotyczą one tylko konta na którym zostały zaimportowane.
Powodzenia!!

w gpedit.msc moźna dawać róźne ograniczenia, jak dam tam, np. zakaz dostepu do panelu sterowania to to ograniczenie obejmie cały komputer, jak zrobić aby to ograniczenie objeło daną grupę?

broch:

Caly ten elaborat ma niestety male zastosowanie. Poniewaz blokada ma charakter globalny czyli dotyczy rowniez administratora.

Stad tez gpedit nie jest odpowiednim narzedziem do specyficznego blokowania dostepu do okreslonych obiektow i tyle

Nie do końca tak jest.
Wiadomo, źe jedynie Windows .NET Server lub Windows 2000 Server mogą być stosowane "Zasady grupy" do indywidualnych uźytkowników.
W XP Prof moźna wykozystać coś takiego jak dostosowane ustawienia dla kaźdej z kilku grup, czyli mozna mieć efektywnie dwie grupy uźytkowników: tych będących pod wpływem ustawień lokalnych "Zasad grupy" oraz tych, na których one nie wpływają. Ten dwojaki wpływ dotyczy jedynie ustawień konfiguracji uźytkownika – ustawienia konfiguracji komputera
stosowane są, zanim ktokolwiek się zaloguje.
Moźna to zrobić dlatego , poniewaź zaleźy to od posiadania przez uźytkownika dostępu do odczytu do lokalnego obiektu "Zasad grupy", który przechowywany
jest w folderze %SystemRoot%System32GroupPolicy.
Zasady te nie są stosowane do uzytkowników, którzy takiego dostepu do odczytu nie mają.

Caly ten elaborat ma niestety male zastosowanie. Poniewaz blokada ma charakter globalny czyli dotyczy rowniez administratora.

Stad tez gpedit nie jest odpowiednim narzedziem do specyficznego blokowania dostepu do okreslonych obiektow i tyle

mariusz25:

Czy na winXP Home edition moźna teź tworzyć takie grupy?

Napisał juź ktoś wyźej , źe nie moźna.



Ustawienia Zasad grupy wybiera się,za pomocą przystawki Zasady grupy dla programu Microsoft Management Console (MMC)
XP Professional zawiera konsolę MMC, która pokazuje tylko tą przystawkę, ale nie ma jej w menu "start".
Dopiero uruchomienie gpedit pozwala jej uźywać. Musisz być zalogowany jako członek grupy Administratorzy, aby móc uźywać Zasad grupy.
Jeśli komputer pracuje w domenie Active Directory i mamy uprawnienia administracyjne domeny, moźna konfigurować "Zasady grupy" by wyświetlać rozszerzenia przystawki, które dopiero wtedy pozwalają na przeglądanie i modyfikowanie zasad domeny, i rozszerzenia dla obiektu "Zasady grupy".

A teraz cytat nie będę przepisywał i się wymądrzał:

Ustawienia Zasad grupy zarówno lokalne, jak i bazujące na usłudze Active Directory mają pierwszeństwo
przed ustawieniami uźytkownika (czyli ustawieniami, które wprowadzisz w Panelu sterowania i innymi sposobami dostępnymi dla zwykłych uźytkowników). Dzieje się tak, poniewaź ustawienia Zasad grupy nie są zapisywane do normalnego klucza rejestru dla konkretnego ustawienia; zamiast tego zapisywane są w wartości w kluczu zasad. Na przykład jeźeli uźyjesz okna dialogowego Właściwości paska zadań i menu Start do wyłączenia menu spersonalizowanych, dane w wartości Intellimenus w kluczu HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced zmienią się. Ale jeźeli uźyjesz Zasad grupy, zamiast tego zmieni się wartość Intellimenus w kluczu HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer. W przypadku konfliktów wartość w kluczu Policies uniewaźnia tą drugą.
koniec cytatu

niechce zakładać nowego wątku więc pytam w tym, bo wydaje się być bardzo podobny.
Czy na winXP Home edition moźna teź tworzyć takie grupy?

Problem jest następujący:
w pracy na kompterach ustawione jest kilka kont. Komputery zaopatrzone są w nagrywarki. Niestety na komputerze gdzie są ustawione konta z ograniczeniami nagrywarki są niewidoczne (tzn. działają tylko jako CD–romy). Czy moźna ustawić tak aby na koncie z ograniczeniami była tez widoczna nagrywarka? Jeśli tak to gdzi eto pozmieniać?

wykluczeniem mowa i instalatora windows

Nie rozumiem co to jest "mowa"?
Nie czepiem sie tylko nie rozumiem
gpedit nie zalatwia wszystkiego:
Zmieniasz prawa dostepu grupy do galezi w rejestrze oraz przez zmiane praw do uruchamiania programow.

Mam grupe ktora nie ma prawa do:
instalacji programow, edycji katalogow:
root (np C:), %Windows%, %Windowssubfoldery%, %Program Files%
Uzytkownicy innej grupy te prawa maja.

nie zmienia o faktu ze uzyrkownik z takiej grupy moze uruchomic Panel kontrolny i otworzyc "Add remove Programs". Nie bedzie jednak w stanie nic zainstalowac poniewaz:
a) nie ma prawa edycji katalogow j.w.
b) (partycja do ktorej ma prawo zapisu nie ma prawa egzekucji, w zwiazku z czym nawet jesli program nie wymaga instalacji na partycji boot to i tak nie da sie go uruchomic), instalator wygeneruje blad o braku prawa zapisu, lub nie uruchomi sie.

Opcje o ktorych piszesz maja jedynie znaczenie kosmetyczne. Innymi slowy ukrycie ich nie zmienia faktu iz uzytkownik bedzie w stanie zainstalowac dowolny program.

Jesli zalezy Ci na wylaczeniu opcji w Panelu kontrolnym to po prostu zmien prawa dostepu do plikow *.cpl
Uzytkownik po tupnieciu na ikone zobaczy blad "zakaz dostepu"

W dalszym ciagu nie zmieni to faktycznej mozliwosci instalacji programow.

Aby to zrobic musialbym napisac pare stron wyjasnienia, niestety, poniewaz wymaga nie tylko zmian dostepu do dysku ale rowniez do rejestru.

Inymi slowy gpedit nie sluzy do ograniczania dostepu w sensie w jakim chcailbys ten dostep ograniczyc.

W sumie szukasz rozwiazan w niewlasciwym miejscu (i oczekujesz zbyt wiele od mmc).

Nie wiem czy odpowiedzialem na Twoje pytanie

broch:

słuchaj, chodzi mi o to aby ograniczenie takie jak w screenie było dla usera "1", nie dyło go dla admina i, np. user 2 miał jakieś inne z Konfiguracja uzytkownika>Szablony admina>... lub z całej konsoli gpedit.msc

Wiem teź w pewnym stopniu jak to się robi, ale tylko umiem dać wdminowi 0 ograniczeń, a userom POZOSTAŁYM INNE(TAKIE SAME)

Administratora nie dodajesz do grupy o ograniczonych uprawnieniach. W pierwszym poscie napisalem:
Jesli uzytkownik nalezy do dwoch grup: z maksymalnymi uprawnienami i z minimalnymi uprawnieniami to ostatecznie bedzie mial prawa (lokalnie) o minimlnym zakresie. Po co dodaesz do tej grupy admina?

Jesli jestes w grupie o minimalnych prawach i chcesz wykonac zadanie admina to uzywasz su (substitute user) czyli:
prawy przycisk myszy i "Run As..."

Jest oczywiste ze tylko administratorzy wykonuja okreslone zdania

nie, nie, nie

Przeczytaj uwaźnie:
jestem administratorem i naleźe TYLKO do grupy administartorów
utworzyłem dwie nowe grupy sub i sib
do grupy sub naleźy user 22, a do sib boeern
TERAZ chcę zabronić userowi 22 dostępu do panelu sterowania, ale user boeern chcę aby miał moźliwość dostępu, z wykluczeniem mowa i instalatora windows
NIE MOŻNA TEGO ZROBIĆ POPRZEZ ZASADY ZABEZPIECZEN LOKALNYCH, BO TAM NIE MA TYCH FUNKCJI

Więc jeśli wejdę na konto 22, to nie mogę włączyć gpedit.msc, a jakwłącze jako administrator (run as) to ograniczenia które wprowadzę będą dotyczyć całego komputera(domeny)

słuchaj, chodzi mi o to aby ograniczenie takie jak w screenie było dla usera "1", nie dyło go dla admina i, np. user 2 miał jakieś inne z Konfiguracja uzytkownika>Szablony admina>... lub z całej konsoli gpedit.msc

Wiem teź w pewnym stopniu jak to się robi, ale tylko umiem dać wdminowi 0 ograniczeń, a userom POZOSTAŁYM INNE(TAKIE SAME)

Administratora nie dodajesz do grupy o ograniczonych uprawnieniach. W pierwszym poscie napisalem:
Jesli uzytkownik nalezy do dwoch grup: z maksymalnymi uprawnienami i z minimalnymi uprawnieniami to ostatecznie bedzie mial prawa (lokalnie) o minimlnym zakresie. Po co dodaesz do tej grupy admina?

Jesli jestes w grupie o minimalnych prawach i chcesz wykonac zadanie admina to uzywasz su (substitute user) czyli:
prawy przycisk myszy i "Run As..."

Jest oczywiste ze tylko administratorzy wykonuja okreslone zdania

Bobi_robert:

Logujesz sie na konto, ktoremu chcesz zablokowac dostep do panelu
Zmieniasz w konfiguracji uźytkownika (w gpedit) >> Zabron dostepu do Panelu Sterownia
Teraz niby na wszystkich kontach masz to właczone ale u Ciebie wszystko działa

na innym koncie jak chcę włączyć gpedit.msc to wyskakuje komunikat "odmowa dostępu"
tylko adfmini mogą to włączyć

Logujesz sie na konto, ktoremu chcesz zablokowac dostep do panelu
Zmieniasz w konfiguracji uźytkownika (w gpedit) >> Zabron dostepu do Panelu Sterownia
Teraz niby na wszystkich kontach masz to właczone ale u Ciebie wszystko działa

Bobi_robert:

Jesli załozysz ograniczenia dla administratorow to dosiegna wszystkich administratorow, dla userów dosiegna userow

włączam gpedit.msc tak w szablonach administracyjnych moźna wynaleć zabroń dostępu do panelu sterowania włączam to, ale nawet admin teraz nie moźe włączyć panelu.

jak zrobić tak aby dana grupa nie mogła mieć dostępu do panelu sterowania??

Jesli załozysz ograniczenia dla administratorow to dosiegna wszystkich administratorow, dla userów dosiegna userow

słuchaj, chodzi mi o to aby ograniczenie takie jak w screenie było dla usera "1", nie dyło go dla admina i, np. user 2 miał jakieś inne z Konfiguracja uzytkownika>Szablony admina>... lub z całej konsoli gpedit.msc

Wiem teź w pewnym stopniu jak to się robi, ale tylko umiem dać wdminowi 0 ograniczeń, a userom POZOSTAŁYM INNE(TAKIE SAME)

Chlopie, przeciez napisalem iz mozesz uzywac albo jednej metody albo drugiej. Chcesz uzywac gpedit to uzywaj.

Porownanie paneli (opcje do manipulacji grupami: