Ограничение на акаунта в Windows 7. Как да ограничите достъпа до компютъра за акаунти? Как работи

Струва ми се, че в тази ситуация може да работи следната рецепта: трябва да създадете две групи, нека ги наречем PCComission и UserComission.
Включват в състава си компютри и съответно потребители на комисионния отдел.
След това създайте обект групова политикаи да се свържете с OU SUS, като премахнете правилото за прилагане от групата Auth Users, като вместо това го добавите към групата PCComission. След това в свойствата на политиката, използвайки механизма за ограничаване на членството в група, изключете групата домейни на потребители на домейн от локалната група Потребители, но добавете групата UserComission

Вадим, посочих, че грешите, защото рецептата ви няма да работи: изключването на потребители на домейн от вградената компютърна потребителска група няма да ограничи потребителите на домейн до локален входкъм този компютър. Това е всичко. Не се обиждайте, но вашето „струва ми се, че ...“ трябва да бъде проверено преди това, предлагайки като рецепта. Запомнете / проверете състоянието на типично членство „Builtin \ Users“ на компютър член в домейна на AD, за привилегиите, накрая ...
Да, и още нещо, не е нужно да се упражнявате сами, камо ли да съветвате неопитен администратор да смени референтния модел за сигурност без уважителна причина. Първо, с това ще донесете повече проблемиотколкото да получите бонуси, и второ - това може да ви лиши от техническа поддръжка!
Вадим, ако можеш да обясниш къде греша, ще ти бъда благодарен. :)
В това ново изскачащо меню изберете от списъка потребителя, на когото ще бъде отказан достъп до вашите документи. В полето Разрешения за поставете отметка в квадратчетата в дясната колона за всички налични опции. Повторете процеса за всички акаунти, в които защитавате такава директория.

Интересен съвет е да използвате този метод за защита, за да откажете достъпа до главната директория, която съдържа всички ваши документи и информация. сметкапотребител. Една от потребителските мечти на много хора е инструмент или приложение, което контролира всичко, което се прави на компютъра, от отворени програми до системни промени.
Добавете: Вадим и за обекта на политиката. Е, нека UCP вземе поне 10 мегабайта в SYSVOL и същото количество в AD контейнера - какво от това? Репликацията е оптимизирана, клиентът не изтегля повторно UCP пет пъти на ден, а администраторът не го променя, защото няма какво да се направи - нали? Като цяло е по -добре да създадете повече OCP и често - това е единственият начин, по който е възможно, отколкото да се ровите из винегрета.
Тук можете да конфигурирате различни настройки не само за потребители, но и за компютъра. Ще имате няколко опции за конфигуриране, като управление на захранването, потребителски профили, вход и др. Тук въвеждате имената на програмите, които трябва да бъдат заключени. От лявата страна имате три опции: Not Configured, Enabled и Disabled. Изберете последния. По този начин прозорецът Show, който е деактивиран, ще ви позволи да посочите конкретни програми, които могат да се отварят на вашия компютър.

За да добавите програми към списъка, просто въведете имената на тези, които могат да бъдат достъпни. Моля, въведете точното име изпълним файлпрограми. Освен това само потребители от този списък могат да бъдат отворени само в този списък. Ако искате отново да освободите всички програми за използване, просто изберете опцията „Disabled“ в горния ляв ъгъл на страницата.
Благодарение на съпругата ми Катя, Клевогин С.П., Козлов С.В., Муравлянников Н.А., Никитин И.Г., Шапиро Л.В. за моите знания! :)

Дмитрий, всъщност обясних вече в един от предишните постове на тази тема: 21 август 2009 г. 10:26.
Е, хайде пак. Предложението ми се състои от идея за промяна, като се използва механизмът „Ограничени групи“, съставът на местната група Потребители / Потребители на компютрите на комисионния отдел, така че потребителите на отдела по продажбите да не могат да влизат в тях (в края на краищата , чрез членството в тази група те имат такова право). Вярно, небрежно формулирах тази идея, правилно беше да кажа не „изключване на групата домейн потребители на домейна от локалната група потребители“, а „изчистване на локалната група потребители“, но това не променя същността, тъй като при прилагане на правилата просто изчиства групата, преди да я добави изрично посочена в раздела Ограничени групи. Така че в този случай не е необходимо да се помни съставът по подразбиране на групата. Въпреки че не боли;) И аз не само помня привилегиите, но и предлагам да ги използвам, а именно Разрешаване на локално влизане.
Ако все още не разбирате нещо, попитайте конкретно - ще се опитам да го обясня по -ясно.
Дмитрий, аз мога да видя някои бонуси. И от какви конкретни проблеми предупреждавате мен и други неопитни администратори във връзка с промяната в състава на групата Потребители?
И обясни ми, за бога, как това може да повлияе техническа поддръжка? И чия?
Е, и за размера на обекта на политиката. Ако случайно не сте намерили контролер зад 128 -каналния канал и не сте се възпроизвеждали почти през целия живот на надгробни обекти, докато разглеждате инфраструктурата на клиента, тогава няма да ви бъде лесно да разберете моята загриженост;) Това е въпреки факта, че броят на GPO е повече от 100.
И вашето изявление, че „по -добре е да се създаде повече UCP и често - това е единственият начин, по който е възможно“, например, не ми е очевидно.
Аз съм привърженик на противоположната гледна точка: ако има две възможности за решаване на проблем, чрез създаване на група или GPO, избирам първия.
За мен е по -удобно да прилагам делегиране на правомощия. Продължителността на процеса на изтегляне / влизане директно зависи от броя на използваните GPO. Но отново това е въпрос на вкус.

Надявам се техническата част да е изяснена.
След това, Дмитрий, няколко думи за етиката на дискусията.
1. Ако вече сте изразили мнението си за моята грешка, бих искал да видя аргументацията на това мнение в същия пост.
2. " Не се обиждайте, но вашето „струва ми се, че ...“ трябва да бъде проверено преди това, предлагайки като рецепта."И така, не бях много мързелив и проверих отново - рецептата работи. Проверихте ли я сами, преди да твърдите, че" рецептата няма да работи "?, Би било хубаво да проверите изявлението си чрез експеримент.
3. Благодаря ви за съвета към мен, но аз не ви помолих за това. Въпреки че не изключвам, че някой ден ще се обърна :)
Нека Виталий Шестаков да ми прости за друг пламък.

Въпреки че тази конфигурация на системата работи добре, тя не е надеждна. Ако някой има достъп до програмата чрез командна линияили чрез „стартиране“, всички създадени от вас настройки се игнорират, тъй като и двете функции имат привилегии, които са по -големи от зададените от вас.

Заслужава да се отбележи, че тези опции са за системни компоненти. Затова внимавайте да не променяте важна информация, тъй като в по -сериозни случаи можете да повредите компютъра си. Сигурността никога не е прекалено голяма, но трябва да организирате всичко умерено, като не забравяте да пуснете важни програми за използване.

Днес ще продължим да говорим за компютърната сигурност. И още една стъпка в тази посока - потребителят.

При инсталиране на операционната зала Windows системипотребителят получава администраторски права. С други думи, той има абсолютна свобода на действие на компютъра. Но злонамереният софтуер, получил достъп до компютър, е надарен със същите права. И това вече е сериозна уязвимост в нашата система за сигурност. Време е да закърпим дупките.

Ако споделяте компютъра си с други, често е необходимо да защитите някои файлове с парола, така че не всички потребители на компютри да имат достъп до съдържащите се в тях данни. Появява се екран, показващ файлова системакакто в примера по -долу.

Следователно можем да започнем да се променяме сега. По подразбиране системата показва съобщение, че няма софтуерни ограничения. След това отидете в папката Допълнителни правила. След като това бъде направено, може да се визуализира, че системата има четири пътя на правило. В тази стъпка щракнете Кликнете с десния бутонекран на мишката според тези правила. Ще се появи меню и трябва да изберете New Path Rule.

В тази статия ще анализираме алгоритъма за преминаване от администратор към по -сигурен акаунт, като запазваме всички настройки.

Защо е необходимо ограничение на сметката?

1. Всички софтуерни продуктистартирани с администраторски права, получете пълна свобода на действие на компютър, която със сигурност ще бъде използвана от разработчиците на зловреден код (вируси и опасни скриптове).

На екрана, който се показва, трябва да посочите кои програми ще бъдат блокирани. Можете да посочите пътя до тях или да кликнете върху бутона „Търсене“, за да прегледате и изберете от списъка. След като изберете програма в секцията „Ниво на сигурност“, определете желаната степен.

След като изберете опцията за клас на защита, информация за причината за блокиране или друга удобна спецификация може да бъде добавена към полето „Описание“. Когато процесът приключи, щракнете върху Приложи, OK и рестартирайте компютъра, за да влязат в сила промените.

Готови, новите ви настройки се прилагат. След като програмата бъде въведена в тези правила, ще се покаже съобщение с известие за блокиране на достъпа при всеки опит. Интересното е, че регистрирате времената и дните от седмицата наведнъж, така че не е нужно да ощипвате всеки ден.

Например, за да може вирусът да се „регистрира“ във вашата операционна система, той трябва да направи промени в записите в системния регистър. Потребител с ограничени права няма да може да прави промени в настройките на операционната система. Следователно злонамерен вирус, стартиран със същите ограничени права, няма да може да пробие защитата на системните настройки и да остави „следа“ във вашия регистър.

Влезте в менюто "Старт" и контролния панел. След това щракнете върху бутона „Създаване на нов акаунт“. И добавете име за акаунта. Оставете опцията Потребител по подразбиране, така че те да нямат разрешение да променят настройките на компютъра.

На следващия екран можете да видите всички потребители, които съществуват на вашия компютър. В секцията Настройки за родителски контрол щракнете върху Настройки. Моля, обърнете внимание, че съобщението ви информира, че няма парола, регистрирана в администраторския акаунт, тоест ще трябва да добавите парола към вашия администраторски акаунт, така че потребителят да не деактивира заключването. Затова изберете администраторски акаунт и задайте парола за него.

Когато влизате в Интернет с администраторски права, помагате на нападател да открадне вашите пароли, идентификационни данни, съхранявани в системните файлове на операционната система. Опасен скрипт, с администраторски права, ще прочете всичките ви тайни и ще ги прехвърли на собственика си.

Създавайки ограничение за потребителски акаунт, вие не само ще разрешите тези проблеми, но и ще предотвратите проникването на обикновен вирус (порно банер, който блокира работата на компютъра).

Въведете вашата парола, подсказка за парола и оставете елемента проверен. За всички администраторски акаунти да задават парола, ако имате друг администраторски акаунт, ще трябва да зададете парола за този друг акаунт. Обратно в мениджъра на акаунти, имайте предвид, че администраторите вече са защитени с парола, сега щракнете върху потребителя по подразбиране, за да конфигурирате достъпа.

В тази таблица имате 24 часа на ден и 7 дни в седмицата, за да изберете само чрез щракване върху съответния комикс, щракнете и плъзнете, ако е необходимо, за да направите няколко избора. Върнете се в персонализирания контрол, щракнете върху Игри. Тук избирате какво може или не може да играе вашето дете и изберете типа рейтинг на играта по -долу.

2. Имайки администраторски права, неопитни потребители могат случайно да направят критични промени в системата Windows файлове, довеждайки операционната система до неработещо състояние. Защитете вашата система от случайни грешки - намалете правата на потребителя.

Промяна на правата на потребителски акаунт

Защото операционна системавече сме го инсталирали и функционираме нормално, тогава ще преминем по следния път: ще променим типа на създадения по -рано акаунт (като намалим правата му) и ще добавим нов потребител с права на администратор (от чието име ще извършим промени в системни файловеОС и регистър).

В параметрите за рейтинг на играта имате списък с различни видовесъдържание, проверете от какво се нуждаете и потвърдете. По същия начин ще направите избора, който този потребител може да използва. За да отмените достъпа, просто следвайте същите стъпки и маркирайте графици и игри, които сте блокирали от детето си. Ако имате въпроси, моля не се колебайте да се свържете с коментарите или чрез форума на семинара.

Но на Лиза не е позволено да използва софтуера за споделяне мигновени съобщения... А Маги не иска Лиза да чете личните й документи. За да разберете файловата система, използвайки вашия HDD, щракнете с десния бутон върху иконата на вашия твърд диск и изберете Properties от изскачащото меню, което се показва и файловата система, която използвате, е ясно видима.

1. Първата стъпка е да подредите нещата със съществуващите сметки. За да направите това, отидете в Центъра за управление на акаунта (щракнете с десния бутон върху иконата "Моят компютър" -> "Управление" -> "Местни потребители и групи" -> "Потребители").

Изтрийте всички записи, с изключение на съществуващия и госта (който трябва да бъде деактивиран).

Избор №1: Защита на документи. Вариант 2: Предоставете документи на всички. По подразбиране всички потребители имат достъп до него. Обратни медали: те могат да ги премахнат или да ги променят. Избор # 3: По -прецизен контрол върху правата за достъп до документи. Но този вид обмен между документи, които са достъпни за всички и напълно обезопасени, може да не е достатъчен в определени ситуации. Можете да персонализирате настройката за контрол на достъпа, така че Лиза да позволи на Барт да копира заданието си за клас и Маги да я промени, но да активира разширеното споделяне на файлове.

2. Няма да работи за понижаване на правата на съществуващ акаунт до нивото на обикновен потребител, тъй като системата трябва да има потребител с администраторски права. Затова първо ще създадем друг администратор и едва след това ще намалим правата на текущия потребител.

Можете обаче да получите достъп до него, като стартирате системата в безопасен режим... Ако обаче искате да използвате разширени опции за споделяне, разархивирайте менюто "Старт" от администраторски акаунт и изберете Моят компютър. Потребителите могат да определят с висока точност правата за достъп до своите документи или каталози. Ограниченията надвишават разрешенията. Например, ако откажете четене на документ за потребителска група, към която Барт, Маги и Лиза са обвързани по подразбиране, и създадете конкретно разрешение за четене за един от тях, достъпът така или иначе ще бъде отказан.

За да направите това, щракнете с десния бутон върху елемента "Потребители" -> изберете " Нов потребител… ”. В прозореца, който се отваря, посочете името на новия администратор, неговата парола, проверете елемента „Паролата не изтича“ и щракнете върху бутона „Създаване“.

Профилът, създаден от нас, ще има правата на обикновен потребител. За да му придадете статут на истински администратор, трябва да го добавите към съответната потребителска група. За да направите това, щракнете двукратно върху новия акаунт, отидете в раздела „Членство в група“ -> щракнете върху бутона „Добавяне“.

Тя иска Маги да прочете този документ. Lisa щраква с десния бутон върху този файл и избира Properties от изскачащото меню, което се появява в прозореца Properties и кликва върху раздела Security. Маги липсва в списъка с групи и потребители, за които са дефинирани права. Сега тя избира името на Маги от списъка. Той избира квадратчето за четене в колоната Разрешаване. Сега Маги е получила достъп до този файл от сесията си, но не може да го промени.

Избор # 4: Инсталирайте приложения, достъпни за всички. По подразбиране всички инсталирани от администратора приложения са достъпни за други потребители, но собствениците на ограничени акаунти не могат да инсталират нови програми, например ще инсталирате помощната програма за компресиране за вашата сесия.

В блока „Въведете името на обекта“ напишете „Администратори“ и кликнете върху бутона „OK“ -> „Прилагане“.

3. Сега е време да се заемем с понижаването на рейтинга на текущия потребител. За да направите това, изберете текущия потребител в списъка и направете всички същите операции, които описах по -горе. Едва сега е необходимо да добавите записа „Потребители“ и да изтриете записа „Администратори“.

Избор # 5: Персонализирайте приложенията. Настройките на приложението обикновено са свързани с всеки потребител. Всеки може да има своя собствена сметка електронна поща, с настройки за връзка и пощенска кутия... Достатъчно е да инсталирате програми от сесиите на всеки потребител. Избор 6: Ограничете достъпа до приложения.

За да ограничите достъпа до приложението, например до софтуерза незабавни съобщения, покажете прозореца със свойства на изпълнимия файл на програмата. Както при вашите документи, ще поставите отметка в квадратчето Четене и изпълнение в раздела Защита до заинтересованите потребители. Можете да инсталирате всички програми в директория, чиито разрешения ще определите внимателно, можете да дефинирате нови групи, като използвате инструмента за управление на компютъра, наличен в контролния панел.

4. След като всичко е направено, излезте и рестартирайте компютъра.

И така, вие сте запазили всичките си настройки, но сте намалили статуса на потребителя, ограничавайки правата му. Сега, за да направите някакви промени в системата, ще трябва да получите достъп до новосъздадения администраторски акаунт.

Как работи?

Работите в системата както обикновено, като стартирате познати програми. Ако изведнъж се наложи да направите промени в системните файлове, влезте в системния регистър или инсталирайте нова програма, можете да го направите по два начина: или да прекратите текущата сесия и да влезете под акаунта на администратора, да използвате „силата“ на администратора, без да напускате текущия акаунт.

Инструментът за скрита групова стратегия предлага повече възможности за ограничаване на достъпа до различни компоненти на вашия компютър. Бъдете внимателни, когато използвате. Например можете да дефинирате списък с неоторизирани приложения за всички потребители, за да можете. В раздела Настройки поставете отметка в квадратчето Разрешено, щракнете върху бутона Показване и щракнете върху Добавяне. Докато сърфират в Интернет, много хора са заплашени да вдишат в дома на потребителя. Поради големия брой уязвимости в сигурността в интернет приложенията е възможно да се „уловят“ различни електронни посещения, набиращи номера, вируси, шпионски софтуер, рекламен софтуер.

За да направите това, щракнете с десния бутон върху стартираната програма и изберете "Run as ..." -> в прозореца, който се показва, посочете администраторския акаунт и въведете администраторската парола -> щракнете върху "OK". По този начин можете да стартирате всяко приложение с администраторски права, без да напускате текущия си акаунт.

Съвети:

Този риск се усложнява допълнително от факта, че повечето домашни потребители използват скъп компютър. В този случай например. Това ще бъде стриктно прилагане на акаунт с ограничена сметка. В домашна среда обаче този акаунт става много рестриктивен - много приложения изискват администраторски права, дори ако използвате обикновен акаунт, е невъзможно да стартирате някои системни настройкиили така. Програмист на стълби.

Такъв браузър или имейл клиент обаче е много непрактичен - затруднява стартирането на уеб браузър под различен потребителски акаунт, щракването върху връзка в имейл съобщение или в приложение затруднява стартирането на браузъра, а потребителят е по -вероятно е да получите някакъв вид зловреден софтуер, преди тези ограничения да бъдат приети.

Вземете сериозно избора на парола за вашия администратор. Колкото по -сложна и дълга е паролата, толкова по -трудно ще бъде хакерът да я пробие.
Тъй като рядко ще използвате новия администраторски акаунт, запишете паролата, която сте създали на сигурно място.
Допълнителна мярка за сигурност ще бъде преименуването на създадения администратор (например вместо „Администратор“ -> „Сергей). По този начин се създава допълнителна бариера за нападателя.