Zabezpieczenia Windows XP – szkolna pracownia komputerowa.
Witam serdecznie,
problem zabezpieczen, jak zdazylem sie zorientowac byl podnoszony wiele razy. Staralem sie uwaznie go przestudiowac, ale nie znalazlem odpowiedzi na wszystkie nurtujace mnie pytania.
Z tego wzgledu prosilbym o Pomoc.
Sytuacja wyglada ogolnie tak:
W pracowni komputerowej w pewnej szkole jest 12 komputerow, postawionych na Windows XP Pro, partycje sa na ntfs'ie, na kazdym z nim jest konto Administrator oraz uczen.
Chodzi ogolnie mi o to, aby Uczen mogl jedynie wlaczyc kilka programow do ktorych skroty znajdowalby sie na pulpicie; nie mogl instalowac, zmieniac nic w systemie, czyli najprosciej mowiac.. Nie mogl nic Popsuc.
Generalnie gpedit.msc rozwiazal wiekszosc moich problemow, jesli chodzi o ograniczenia, z tym ze w momencie, kiedy np. blokuje dostep do Panelu sterowania, to ow panel znika mi zarowno na koncie Administratora i Ucznia.
Tak wiec, jak zrobic 2 profile dla Ucznia (z ograniczeniami) i Administratora (standardowy) w gpedit.msc?
I moje drugie pytanie: jak mozna sprzezyc pulpit Administratora z Uczniem, to znaczy: ikony, ktore na pulpicie mialby Administrator, musilby miec uczen.
Pozdrawiam,
z gory dziekuje za wszelkie wskazowki,
ben.
problem zabezpieczen, jak zdazylem sie zorientowac byl podnoszony wiele razy. Staralem sie uwaznie go przestudiowac, ale nie znalazlem odpowiedzi na wszystkie nurtujace mnie pytania.
Z tego wzgledu prosilbym o Pomoc.
Sytuacja wyglada ogolnie tak:
W pracowni komputerowej w pewnej szkole jest 12 komputerow, postawionych na Windows XP Pro, partycje sa na ntfs'ie, na kazdym z nim jest konto Administrator oraz uczen.
Chodzi ogolnie mi o to, aby Uczen mogl jedynie wlaczyc kilka programow do ktorych skroty znajdowalby sie na pulpicie; nie mogl instalowac, zmieniac nic w systemie, czyli najprosciej mowiac.. Nie mogl nic Popsuc.
Generalnie gpedit.msc rozwiazal wiekszosc moich problemow, jesli chodzi o ograniczenia, z tym ze w momencie, kiedy np. blokuje dostep do Panelu sterowania, to ow panel znika mi zarowno na koncie Administratora i Ucznia.
Tak wiec, jak zrobic 2 profile dla Ucznia (z ograniczeniami) i Administratora (standardowy) w gpedit.msc?
I moje drugie pytanie: jak mozna sprzezyc pulpit Administratora z Uczniem, to znaczy: ikony, ktore na pulpicie mialby Administrator, musilby miec uczen.
Pozdrawiam,
z gory dziekuje za wszelkie wskazowki,
ben.
Odpowiedzi: 3
Hmm.. to by problem rozwiazalo, ale zastanawiam sie nad mniej skomplikowanym rozwiazaniem.
Moze by tak dalo sie zrobic, zeby konto Uczen i Administrator potrafily pamietac swoje wlasne ustawienia gpedit.msc odpowiednie do swojego konta?
Moze by tak dalo sie zrobic, zeby konto Uczen i Administrator potrafily pamietac swoje wlasne ustawienia gpedit.msc odpowiednie do swojego konta?
Zacznę moźe od tego ,źe w XP są do wyboru profile :
–lokalny , mobilny, i obowiązkowy.
Z tego co piszesz benianna widzi mi się źe potrzebujesz tego ostatniego.
Profil obowiazkowy jest profilem, który moźe być zmieniany tylko przez administratora.
Profil ten jest przechowywanay na serwerze sieciowym, a Windows tworzy tworzy kopię lokalną przy pierwszym logowaniu uźytkownika, do
którego przypisany został profil obowiązkowy.
Profil ten nie jest uaktualniany w momencie wylogowania się ( tak jest np. w profilu mobilnym).
Daje to moźliwość wprowadzania ograniczeń nie tylko do uźytkowników indywidualnych , ale np. dla uźytkowników wykonujących określone zadania , dla którego chcesz zastosować jakiś specjalne ustawienia.
Najciekasze jest to źe uźytkownicy mogą wprowadzać zmiany w profilu kiedy się logują – chyba źe zabraniają tego ustawienia zasad –lecz kopia sieciowa pozostaje nie zmieniona.
Kopia profilu pozostaje na kompie uźytkownia do czasu następnego logowania się – zostaje skopiowany orginalny profil z udziału sieciowego.
By utworzyć profil obowiązkowy najpierw trzeba utworzyć mobilny.
Jak utworzyć taki profil? Ja nic ponadto co juź napisane nie wymyślę więc cytuję:
"Aby utworzyć profil, który ma być uźyty jako profil mobilny uźytkownika, i skopiować go do udostępnionego folderu profili, wykonaj następujące czynności:
1. Utwórz profil poprzez zalogowanie się (najlepiej uźywając tymczasowego konta
uźytkownika, utworzonego w tym celu) i wprowadź ustawienia jakie chcesz.
2. Wyloguj się, a następnie ponownie zaloguj jako członek grupy Administratorzy.
UWAGA
Jeźeli kopiujesz profil z innego komputera niź ten, który zawiera udostępniony folder profili, konto na które się zalogowałeś, musi mieć tą samą nazwę uźytkownika i hasło co konto, które ma uprawnienia administracyjne na komputerze docelowym.
3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Właoeciwości.
W oknie dialogowym Właściwości systemu kliknij kartę Zaawansowane, a następnie
kliknij przycisk Ustawienia w sekcji Profile uźytkownika.
4. Zaznacz profil, który utworzyłeś, i kliknij przycisk Kopiuj do.
5. W polu Kopiowanie profilu do wpisz pełną ścieźkę do folderu przeznaczenia. Na przykład jeźeli chcesz utworzyć profil dla uźytkownika o nazwie Uczeń1 w udziale
Profiles na komputerze o nazwie stolik, wpisz \stolikprofilesUczeń1.
Upewnij się, źe folder przeznaczenia, który podałeś, nie istnieje; jeźeli istnieje,
Windows usunie jego zawartość zanim skopiuje profil.
6. W sekcji Pozwolenie na uźywanie kliknij przycisk Zmień i wpisz nazwę uźytkownika,
który będzie uźywał profilu.
Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil uźytkownika do określonego folderu i ustawi uprawnienia na folderze docelowym i jego zawartości. Windows daje uprawnienie "Pełna kontrola" dla grupy Administratorzy, uźytkownika lub grupy, którą podałeś w polu Pozwolenie na uźywanie, oraz konta systemowego. Uniemoźliwia to uźytkownikom nie będącym administratorami dostęp do profili innych niź ich własne.
Jeźeli skopiowałeś profil z jednego komputera do udostępnionego folderu na innym komputerze, uprawnienia, które utworzył system Windows, nie są do końca poprawne i musisz wykonać jeszcze jedną czynność, aby je poprawić.
Na komputerze z udostępnionym folderem profili kliknij prawym przyciskiem myszy folder nowego profilu, wybierz Właściwości i kliknij zabezpieczenia. Jeźeli jedna z nazw pokazuje identyfikator zabezpieczeń nieznanego uźytkownika, musisz dodać właściwe konto uźytkownika (w tym przypadku Uczeń1) i nadać mu uprawnienie Pełna kontrola. Moźesz usunąć nieznanego uźytkownika, aczkolwiek nie ma potrzeby, aby to robić. (Konto nieznanego uźytkownika w rzeczywistści jest poprawną nazwą uźytkownika, ale jest to konto z komputera
źródłowego, a nie konto na komputerze lokalnym."
koniec cytatu
Teraz właściwe ustawienia dla profilu obowiązkowego
cyt:
"Aby przypisać profil obowiązkowy do jednego lub więcej uźytkowników, wykonaj te same procedury, jak w wypadku uźycia profilu mobilnego uźytkownika (to co powyźej napisano). Następnie na komputerze, na którym przechowywany jest udostępniony folder,
wprowaddź następujące zmiany:
1. Zmień uprawnienia folderu, usuwając uprawnienia Pełna kontrola, Modyfikacja oraz Zapis dla konta uźytkownika (lub kont), które będzie uźywał profilu –
pozostawiając jedynie uprawnienia Odczyt i wykonanie, Wyświetlanie zawartości folderu oraz Odczyt.
2. Zmień nazwę ukrytego pliku Ntuser.dat (w folderze najwyźszego poziomu profilu) na Ntuser.man. (Upewnij się, źe zmieniłś Ntuser.dat, a nie Ntuser.dat.log,
którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man określa profil
obowiązkowy (ang. mandatory)."
koniec cytatu
–lokalny , mobilny, i obowiązkowy.
Z tego co piszesz benianna widzi mi się źe potrzebujesz tego ostatniego.
Profil obowiazkowy jest profilem, który moźe być zmieniany tylko przez administratora.
Profil ten jest przechowywanay na serwerze sieciowym, a Windows tworzy tworzy kopię lokalną przy pierwszym logowaniu uźytkownika, do
którego przypisany został profil obowiązkowy.
Profil ten nie jest uaktualniany w momencie wylogowania się ( tak jest np. w profilu mobilnym).
Daje to moźliwość wprowadzania ograniczeń nie tylko do uźytkowników indywidualnych , ale np. dla uźytkowników wykonujących określone zadania , dla którego chcesz zastosować jakiś specjalne ustawienia.
Najciekasze jest to źe uźytkownicy mogą wprowadzać zmiany w profilu kiedy się logują – chyba źe zabraniają tego ustawienia zasad –lecz kopia sieciowa pozostaje nie zmieniona.
Kopia profilu pozostaje na kompie uźytkownia do czasu następnego logowania się – zostaje skopiowany orginalny profil z udziału sieciowego.
By utworzyć profil obowiązkowy najpierw trzeba utworzyć mobilny.
Jak utworzyć taki profil? Ja nic ponadto co juź napisane nie wymyślę więc cytuję:
"Aby utworzyć profil, który ma być uźyty jako profil mobilny uźytkownika, i skopiować go do udostępnionego folderu profili, wykonaj następujące czynności:
1. Utwórz profil poprzez zalogowanie się (najlepiej uźywając tymczasowego konta
uźytkownika, utworzonego w tym celu) i wprowadź ustawienia jakie chcesz.
2. Wyloguj się, a następnie ponownie zaloguj jako członek grupy Administratorzy.
UWAGA
Jeźeli kopiujesz profil z innego komputera niź ten, który zawiera udostępniony folder profili, konto na które się zalogowałeś, musi mieć tą samą nazwę uźytkownika i hasło co konto, które ma uprawnienia administracyjne na komputerze docelowym.
3. Kliknij prawym przyciskiem myszy Mój komputer i wybierz Właoeciwości.
W oknie dialogowym Właściwości systemu kliknij kartę Zaawansowane, a następnie
kliknij przycisk Ustawienia w sekcji Profile uźytkownika.
4. Zaznacz profil, który utworzyłeś, i kliknij przycisk Kopiuj do.
5. W polu Kopiowanie profilu do wpisz pełną ścieźkę do folderu przeznaczenia. Na przykład jeźeli chcesz utworzyć profil dla uźytkownika o nazwie Uczeń1 w udziale
Profiles na komputerze o nazwie stolik, wpisz \stolikprofilesUczeń1.
Upewnij się, źe folder przeznaczenia, który podałeś, nie istnieje; jeźeli istnieje,
Windows usunie jego zawartość zanim skopiuje profil.
6. W sekcji Pozwolenie na uźywanie kliknij przycisk Zmień i wpisz nazwę uźytkownika,
który będzie uźywał profilu.
Kiedy klikniesz OK w oknie dialogowym Kopiowanie do, Windows skopiuje profil uźytkownika do określonego folderu i ustawi uprawnienia na folderze docelowym i jego zawartości. Windows daje uprawnienie "Pełna kontrola" dla grupy Administratorzy, uźytkownika lub grupy, którą podałeś w polu Pozwolenie na uźywanie, oraz konta systemowego. Uniemoźliwia to uźytkownikom nie będącym administratorami dostęp do profili innych niź ich własne.
Jeźeli skopiowałeś profil z jednego komputera do udostępnionego folderu na innym komputerze, uprawnienia, które utworzył system Windows, nie są do końca poprawne i musisz wykonać jeszcze jedną czynność, aby je poprawić.
Na komputerze z udostępnionym folderem profili kliknij prawym przyciskiem myszy folder nowego profilu, wybierz Właściwości i kliknij zabezpieczenia. Jeźeli jedna z nazw pokazuje identyfikator zabezpieczeń nieznanego uźytkownika, musisz dodać właściwe konto uźytkownika (w tym przypadku Uczeń1) i nadać mu uprawnienie Pełna kontrola. Moźesz usunąć nieznanego uźytkownika, aczkolwiek nie ma potrzeby, aby to robić. (Konto nieznanego uźytkownika w rzeczywistści jest poprawną nazwą uźytkownika, ale jest to konto z komputera
źródłowego, a nie konto na komputerze lokalnym."
koniec cytatu
Teraz właściwe ustawienia dla profilu obowiązkowego
cyt:
"Aby przypisać profil obowiązkowy do jednego lub więcej uźytkowników, wykonaj te same procedury, jak w wypadku uźycia profilu mobilnego uźytkownika (to co powyźej napisano). Następnie na komputerze, na którym przechowywany jest udostępniony folder,
wprowaddź następujące zmiany:
1. Zmień uprawnienia folderu, usuwając uprawnienia Pełna kontrola, Modyfikacja oraz Zapis dla konta uźytkownika (lub kont), które będzie uźywał profilu –
pozostawiając jedynie uprawnienia Odczyt i wykonanie, Wyświetlanie zawartości folderu oraz Odczyt.
2. Zmień nazwę ukrytego pliku Ntuser.dat (w folderze najwyźszego poziomu profilu) na Ntuser.man. (Upewnij się, źe zmieniłś Ntuser.dat, a nie Ntuser.dat.log,
którego rozszerzenie jest normalnie ukryte). Rozszerzenie .man określa profil
obowiązkowy (ang. mandatory)."
koniec cytatu
benianna:
Tak wiec, jak zrobic 2 profile dla Ucznia (z ograniczeniami) i Administratora (standardowy) w gpedit.msc?
I moje drugie pytanie: jak mozna sprzezyc pulpit Administratora z Uczniem, to znaczy: ikony, ktore na pulpicie mialby Administrator, musilby miec uczen.
Ad 1: Wlasnie przez gpedit blokuje nawet dla administratora
Ad 2: Moze jaki pulpit zdalny
Strona 1 / 1