コンピューター ウィンドウズ インターネット
拡大

Windows 7アカウントの制限。アカウントのコンピューターへのアクセスを制限するにはどうすればよいですか? 使い方

この状況では、次のレシピが機能するように思われます。2つのグループを作成する必要があり、それらをPCComissionとUserComissionと呼びましょう。
作曲コンピュータと委員会部門のユーザーにそれぞれ含めます。
次に、オブジェクトを作成します グループポリシー OU SUSにリンクし、Auth Usersグループから適用ポリシーを削除し、代わりにPCComissionグループに追加します。 その後、ポリシープロパティで、グループメンバーシップを制限するメカニズムを使用して、Domain UsersドメイングループをUsersローカルグループから除外しますが、UserComissionグループを追加します。

Vadim、レシピが機能しないために間違っていることを指摘しました。組み込みのコンピューターユーザーグループからドメインユーザーを除外しても、ドメインユーザーは次のように制限されません。 ローカル入力このコンピュータに。 それで全部です。 気分を害することはありませんが、レシピとして提供する前に、「...」を確認する必要があります。 ADドメインのメンバーコンピューターの一般的な「Builtin \ Users」メンバーシップのステータス、特権について、最後に...を覚えておいてください。

はい。もう1つ、自分で練習する必要はありません。経験の浅い管理者に、正当な理由もなくセキュリティ参照モデルを変更するようにアドバイスすることは言うまでもありません。 まず、これを行うことによってあなたはもたらすでしょう より多くの問題ボーナスを得るよりも、そして第二に-それはあなたにテクニカルサポートを奪う可能性があります!

ヴァディム、私がどこを間違えているのか説明していただければ、ありがたいです。 :)

この新しいポップアップメニューで、ドキュメントへのアクセスを拒否されるユーザーをリストから選択します。 [アクセス許可]ボックスで、使用可能なすべてのオプションの右側の列にあるチェックボックスを選択します。 そのようなディレクトリを保護しているすべてのアカウントに対してこのプロセスを繰り返します。

興味深いヒントは、この保護方法を使用して、自分のすべてのドキュメントと情報が含まれているメインディレクトリへのアクセスを拒否することです。 アカウントユーザー。 多くの人々の消費者の夢の1つは、開いているプログラムからシステムの変更まで、コンピューター上で実行されるすべてを制御するツールまたはアプリケーションです。

追加:Vadim、およびポリシーのオブジェクトについて。 さて、UCPがSYSVOLで少なくとも10メガバイト、ADコンテナで同じ量を取るようにします-それで何ですか? レプリケーションは最適化されており、クライアントはUCPを1日に5回再ダウンロードせず、管理者は何もすることがないため、UCPを変更しません。 一般に、より多くのOCPを作成する方が適切であり、多くの場合、ビネグレットソースをいじくり回すよりも、これが可能な唯一の方法です。

ここでは、ユーザーだけでなくコンピューターのさまざまな設定を構成できます。 電源管理、ユーザープロファイル、ログインなど、いくつかの構成オプションがあります。 ここに、ロックする必要のあるプログラムの名前を入力します。 左側には、[未構成]、[有効]、[無効]の3つのオプションがあります。 最後のものを選択してください。 したがって、無効になっている[表示]ウィンドウでは、コンピューターで開くことができる特定のプログラムを指定できます。

プログラムをリストに追加するには、アクセスできるプログラムの名前を入力するだけです。 正確な名前を入力してください 実行可能ファイルプログラム。 さらに、このリストのユーザーのみがこのリストでのみ開くことができます。 すべてのプログラムを解放して再度使用する場合は、ページの左上隅にある[無効]オプションを選択するだけです。

妻のKatya、Klevogin S.P.、Kozlov S.V.、Muravlyannikov N.A.、Nikitin I.G.、ShapiroL.V。に感謝します。 私の知る限り! :)


ドミトリー、実際、私はこのスレッドの以前の投稿の1つですでに説明しました: 2009年8月21日10:26。
さて、また行きましょう。 私の提案は、「制限付きグループ」メカニズムを使用して、販売部門のユーザーがログインできないように、コミッション部門のコンピューター上のローカルユーザー/ユーザーグループの構成を変更するというアイデアで構成されていました(結局のところ、彼らがそのような権利を持っているのは、このグループのメンバーシップを通じてです)。 確かに、私はこのアイデアを何気なく策定しました。「ドメインユーザードメイングループをローカルユーザーグループから除外する」ではなく、「ローカルユーザーグループをクリアする」と言うのは正しいことでしたが、 それは本質を変えません、ポリシーが適用されると、[制限されたグループ]セクションで明示的に指定されたグループを追加する前に、グループをクリーンアップするだけです。 したがって、この場合、グループのデフォルトの構成を覚えておく必要はありません。 害はありませんが;)そして私は特権を覚えているだけでなく、それらを使用すること、つまりローカルでのログオンを許可することも提案します。
それでも理解できない場合は、具体的に質問してください。より明確に説明しようと思います。
ドミトリー、私はいくつかのボーナスを自分で見ることができます。 また、Usersグループの構成の変更に関連して、私や他の経験の浅い管理者に警告する具体的な問題は何ですか?
そして、これがどのように影響するかを天国のために私に説明してください 技術サポート? そして誰?
さて、そして政治の対象の大きさについて。 顧客のインフラストラクチャを調べたときに、128kチャネルの背後にあり、トゥームストーンオブジェクトのほぼ全期間にわたって複製されていないコントローラーを偶然見つけなかった場合、私の懸念を理解するのは簡単ではありません;)これは事実にもかかわらずですGPOの数が100を超えていたこと。
そして、たとえば、「より多くのUCPを作成する方が良い、そして多くの場合、これが可能な唯一の方法である」というあなたの声明は、私には明らかではありません。
私は反対の見方を支持しています。問題を解決するための2つのオプションがある場合、グループまたはGPOを作成することにより、最初のオプションを選択します。
権限の委任を実装する方が便利です。 また、ダウンロード/ログインプロセスの期間は、使用されるGPOの数に直接依存します。 しかし、繰り返しになりますが、これは好みの問題です。

技術的な部分が片付けられることを願っています。
それから、ドミトリー、議論の倫理についてのいくつかの言葉。
1.あなたが私の間違いについてすでにあなたの意見を表明しているなら、私は同じ投稿でこの意見の議論を見たいと思います。
2. " 気分を害することはありませんが、レシピとして提供する前に、「...」を確認する必要があります。「それで、私はあまり怠惰ではなく、もう一度チェックしました-レシピは機能します。「レシピは機能しません」と主張する前に自分でチェックしましたか?それで私はあなたにあなたの言葉を返します:あなたが何かを明確に述べる前に、それは素晴らしいでしょう実験によってあなたの声明をチェックする。
3.アドバイスありがとうございますが、お願いはしませんでした。 私はいつかそれを除外しませんが、私は連絡します:)
VitaliyShestakovが別の炎を許してくれますように。

このシステム構成は正常に機能しますが、信頼性はありません。 誰かが経由でプログラムにアクセスした場合 コマンドラインまたは「起動」を介して、作成したすべての設定は無視されます。これは、両方の機能が、設定したものよりも大きな特権を持っているためです。

これらのオプションはシステムコンポーネント用であることも注目に値します。 したがって、より深刻なケースではコンピュータに損傷を与える可能性があるため、重要な情報を変更しないように注意してください。 セキュリティは決して素晴らしいものではありませんが、使用する重要なプログラムをリリースすることを忘れずに、すべてを適度に整理する必要があります。

今日は、コンピュータのセキュリティについて引き続き説明します。 そして、この方向へのもう1つのステップ-ユーザー。

手術室設置時 Windowsシステムユーザーには管理者権限が付与されます。 言い換えれば、彼はPC上で絶対的な行動の自由を持っています。 しかし、コンピューターにアクセスした悪意のあるソフトウェアには、同じ権利が与えられています。 そして、これはすでに私たちのセキュリティシステムの深刻な脆弱性です。 穴を埋める時が来ました。

コンピューターを他のユーザーと共有する場合、すべてのコンピューターユーザーがファイルに含まれるデータにアクセスできるわけではないように、一部のファイルをパスワードで保護する必要があることがよくあります。 画面が表示され、 ファイルシステム以下の例のように。

したがって、今から変更を開始できます。 デフォルトでは、システムにはソフトウェアの制限がないというメッセージが表示されます。 次に、AdditionalRulesフォルダーに移動します。 これが完了すると、システムに4つのルールパスがあることが視覚化できます。 このステップでは、をクリックします 右クリックこれらの規則に従ったマウス画面。 メニューが表示され、[新しいパスルール]を選択する必要があります。

この記事では、すべての設定を保持しながら、管理者からより安全なアカウントに切り替えるためのアルゴリズムを分析します。

アカウントの制限が必要なのはなぜですか?

1.すべて ソフトウェア製品管理者権限で起動すると、PC上で完全に自由に行動できます。これは、悪意のあるコード(ウイルスや危険なスクリプト)の開発者によって確実に使用されます。

表示される画面で、ブロックするプログラムを指定する必要があります。 それらへのパスを指定するか、[検索]ボタンをクリックしてリストから表示および選択できます。 「セキュリティレベル」セクションでプログラムを選択した後、目的の程度を決定します。

セキュリティクラスオプションを選択した後、ブロックの理由または便利な指定に関する情報を[説明]フィールドに追加できます。 プロセスが完了したら、[適用]、[OK]の順にクリックし、コンピューターを再起動して変更を有効にします。

これで、新しい設定が適用されます。 プログラムがこれらのルールに入力されると、試行が行われるたびにアクセスがブロックされていることを通知するメッセージが表示されます。 そして興味深いのは、時間と曜日を一度に記録するので、毎日微調整する必要がないことです。

たとえば、ウイルスがオペレーティングシステムに「登録」できるようにするには、レジストリエントリを変更する必要があります。 権限が制限されているユーザーは、OS設定を変更できません。 その結果、同じ制限された権限で起動された悪意のあるウイルスは、システム設定の保護を突破して、レジストリに「痕跡」を残すことができなくなります。

スタートメニューとコントロールパネルに入ります。 次に、[新しいアカウントの作成]ボタンをクリックします。 そして、アカウントの名前を追加します。 [デフォルトユーザー]オプションを選択したままにして、コンピューター設定を変更する権限がないようにします。

次の画面で、コンピューターに存在するすべてのユーザーを確認できます。 [ペアレンタルコントロールの設定]セクションで、[設定]をクリックします。 このメッセージは、管理者アカウントにパスワードが登録されていないことを通知することに注意してください。つまり、ユーザーがロックを無効にしないように、管理者アカウントにパスワードを追加する必要があります。 したがって、管理者アカウントを選択し、そのパスワードを設定してください。

管理者権限でインターネットにアクセスすると、攻撃者がOSシステムファイルに保存されているパスワードやクレデンシャルを盗むのを助けます。 管理者権限を持つ危険なスクリプトは、すべての秘密を読み取り、その所有者に渡します。

ユーザーアカウントに制限を設けることで、これらの問題を解決するだけでなく、一般的なウイルスがコンピューターに侵入するのを防ぐことができます(コンピューターをブロックするポルノバナー)。

パスワードとパスワードのヒントを入力し、チェックを入れたままにします。 すべての管理者アカウントでパスワードを設定するには、別の管理者アカウントがある場合は、その別のアカウントのパスワードを設定する必要があります。 アカウントマネージャーに戻り、管理者はすでにパスワードで保護されていることに注意してください。次に、デフォルトのユーザーをクリックしてアクセスを構成します。

この表では、対応するコミックをクリックするだけで24時間年中無休で選択でき、必要に応じてクリックアンドドラッグして複数の選択を行うことができます。 カスタムコントロールに戻り、[ゲーム]をクリックします。 ここでは、お子様がプレイできるものとプレイできないものを選択し、以下のゲーム評価のタイプを選択します。

2.管理者権限があるため、経験の浅いユーザーが誤ってシステムに重大な変更を加える可能性があります Windowsファイル、OSを動作不能状態にします。 偶発的なエラーからシステムを保護します-ユーザー権限を下げます。

ユーザーアカウントの権限の変更

なぜなら オペレーティング・システムすでにインストールされ、正常に機能しているので、次のパスに進みます。以前に作成したアカウントのタイプを変更し(権限を下げることにより)、管理者権限を持つ新しいユーザーを追加します(その代わりに実行します)。に変更 システムファイル OSとレジストリ)。

ゲームの評価パラメータには、次のリストがあります 他の種類コンテンツ、必要なものを確認して確認してください。 同様に、このユーザーが使用できる選択を行います。 アクセスを取り消すには、同じ手順に従って、お子様のためにブロックしたスケジュールとゲームを強調表示します。 ご不明な点がございましたら、お気軽にコメントやセミナーフォーラムまでお問い合わせください。

ただし、リサは共有ソフトウェアの使用を許可されていません インスタントメッセージング..。 そしてマギーはリサに彼女の個人的な文書を読んでほしくない。 を使用してファイルシステムを見つけるには HDD、ハードドライブのアイコンを右クリックし、表示されるポップアップメニューから[プロパティ]を選択すると、使用しているファイルシステムがはっきりと表示されます。

1.最初のステップは、既存のアカウントで物事を整理することです。 これを行うには、アカウントコントロールセンターに移動します([マイコンピューター]-> [管理]-> [ローカルユーザーとグループ]-> [ユーザー]アイコンを右クリックします)。

既存のエントリとゲスト(無効にする必要があります)を除くすべてのエントリを削除します。

選択肢1:ドキュメントの保護。 オプション2:すべての人にドキュメントを提供します。 デフォルトでは、すべてのユーザーがアクセスできます。 逆メダル:削除または変更できます。 選択肢3:ドキュメントのアクセス権をより正確に制御します。 ただし、すべてのユーザーがアクセスでき、完全に保護されているドキュメント間のこのタイプの交換は、特定の状況では十分でない場合があります。 アクセス制御設定を微調整して、リサにバートにクラス割り当てをコピーさせ、マギーにそれを変更させることができますが、高度なファイル共有を有効にします。

2.システムには管理者権限を持つユーザーが必要であるため、既存のアカウントの権限を通常のユーザーのレベルまで下げることはできません。 したがって、最初に別の管理者を作成し、次に現在のユーザーの権限を下げます。


ただし、次の場所でシステムを実行することでアクセスできます。 セーフモード..。 ただし、高度な共有オプションを使用する場合は、管理者アカウントから[スタート]メニューを解凍し、[マイコンピューター]を選択します。 ユーザーは、ドキュメントまたはカタログへのアクセス権を高精度で定義できます。 制限は許可を上回ります。 たとえば、Bart、Maggie、およびLisaがデフォルトでバインドされているユーザーグループのドキュメントの読み取りを拒否し、そのうちの1つに特定の読み取りアクセス許可を作成した場合、アクセスはとにかく拒否されます。

これを行うには、「ユーザー」項目を右クリックし、「」を選択します。 新しいユーザー…」。 開いたウィンドウで、新しい管理者の名前とパスワードを指定し、[パスワードの有効期限が切れていません]チェックボックスをオンにして、[作成]ボタンをクリックします。

当社が作成したアカウントには、通常のユーザーの権利があります。 実際の管理者のステータスを与えるには、適切なユーザーグループに追加する必要があります。 これを行うには、新しいアカウントをダブルクリックし、[グループメンバーシップ]タブに移動し、[追加]ボタンを押します。

彼女はマギーにこの文書を読んでもらいたいと思っています。 リサはこのファイルを右クリックし、[プロパティ]ウィンドウに表示されるポップアップメニューから[プロパティ]を選択して、[セキュリティ]タブをクリックします。 マギーは、権利が定義されているグループとユーザーのリストにありません。 今、彼女はリストからマギーの名前を選びます。 彼は、[許可]列の[読み取り]チェックボックスを選択します。 これで、マギーは自分のセッションからこのファイルにアクセスしましたが、変更することはできません。

選択肢4:すべての人が利用できるアプリケーションをインストールします。 デフォルトでは、管理者がインストールしたすべてのアプリケーションを他のユーザーが利用できますが、制限付きアカウントの所有者は新しいプログラムをインストールできません。たとえば、セッションに圧縮ユーティリティをインストールします。

「オブジェクト名を入力してください」ブロックに「管理者」と入力し、「OK」->「適用」ボタンをクリックします。

3.次に、現在のユーザーのダウングレードに取り組みます。 これを行うには、リストから現在のユーザーを選択し、上記で説明したのと同じ操作をすべて実行します。 今だけ、「Users」レコードを追加し、「Administrators」レコードを削除する必要があります。

選択肢5:アプリケーションをカスタマイズします。 アプリケーション設定は通常、各ユーザーに関連付けられています。 誰もが自分のアカウントを持つことができます Eメール、接続設定と メールボックス..。 各ユーザーのセッションからプログラムをインストールするだけで十分です。 選択肢6:アプリケーションへのアクセスを制限します。

アプリケーションへのアクセスを制限するには、たとえば、 ソフトウェアインスタントメッセージングの場合は、プログラム実行可能ファイルのプロパティウィンドウを表示します。 ドキュメントと同様に、関心のあるユーザーの横にある[セキュリティ]タブの[読み取りと実行]チェックボックスをオンにします。 綿密に定義する権限を持つディレクトリにすべてのプログラムをインストールできます。コントロールパネルで利用可能なコンピュータ管理ツールを使用して、新しいグループを定義できます。

4.すべてが完了したら、ログアウトしてコンピューターを再起動します。

これで、すべての設定を保存しましたが、ユーザーのステータスを下げて、ユーザーの権限を制限しました。 ここで、システムに変更を加えるには、新しく作成した管理者のアカウントにアクセスする必要があります。

使い方?

いつものようにシステムで作業し、使い慣れたプログラムを起動します。 突然システムファイルに変更を加える必要がある場合は、レジストリにアクセスするか、インストールしてください 新しいプログラム、2つの方法でそれを行うことができます:現在のセッションを終了して管理者アカウントでログインするか、現在のアカウントを離れることなく管理者の「権限」を使用します。

隠しグループ戦略ツールは、コンピューターのさまざまなコンポーネントへのアクセスを制限するためのより多くのオプションを提供します。 ご使用の際はご注意ください。 たとえば、すべてのユーザーに対して許可されていないアプリケーションのリストを定義できるようにすることができます。 [設定]タブで、[有効]チェックボックスを選択し、[表示]ボタンをクリックして、[追加]をクリックします。 インターネットを閲覧している間、多くの人々がユーザーの家で呼吸することを脅かされています。 インターネットアプリケーションには多数のセキュリティの脆弱性があるため、さまざまな電子ヒット、ダイヤラー、ウイルス、スパイウェア、アドウェアを「キャッチ」する可能性があります。

これを行うには、起動しているプログラムを右クリックし、表示されるウィンドウで[実行...]->を選択し、管理者アカウントを指定して管理者パスワードを入力します-> [OK]をクリックします。 したがって、現在のアカウントを離れることなく、管理者権限で任意のアプリケーションを実行できます。

助言:

このリスクは、ほとんどのホームユーザーが高価なコンピューターを使用しているという事実によってさらに悪化します。 この場合、例えば。 これは、限定アカウントアカウントの厳密な適用になります。 ただし、家庭環境では、このアカウントは非常に制限されます。多くのアプリケーションには管理者権限が必要です。通常のアカウントを使用している場合でも、一部のアカウントを実行することはできません。 システム設定とか、ぐらい。 ラダープログラマー。

ただし、このようなブラウザまたは電子メールクライアントは非常に実用的ではありません。別のユーザーアカウントでWebブラウザを起動することは困難であり、電子メールメッセージまたはアプリケーション内のリンクをクリックすると、ブラウザを起動することが困難になります。このような制限が受け入れられる前に、ある種のマルウェアを取得する可能性が高くなります。

  • 管理者のパスワードの選択について真剣に考えてください。 パスワードが複雑で長いほど、攻撃者がパスワードを解読するのが難しくなります。
  • 新しい管理者アカウントを使用することはめったにないので、作成したパスワードを安全な場所に書き留めてください。
  • 追加のセキュリティ対策は、作成した管理者の名前を変更することです(たとえば、「管理者」->「Sergey」の代わりに)。 したがって、攻撃者に追加の障壁を作成します。


あなたの質問に対する答えが見つかりませんでしたか? ここを見てください
再構成可能なマルチパイプラインコンピューティング環境に基づく分散制御システムのアーキテクチャL-Net再構成可能なマルチパイプラインコンピューティング環境に基づく分散制御システムのアーキテクチャL-Net「透過的」分散ファイルシステム
電子メール送信ページrelay_recipientsファイルにActiveDirectoryのアドレスを入力します電子メール送信ページrelay_recipientsファイルにActiveDirectoryのアドレスを入力します
Windowsに言語バーがありません-どうすればよいですか?Windowsに言語バーがありません-どうすればよいですか?