Omejitev računa Windows 7. Kako omejiti dostop do računalnika za račune? Kako deluje

Zdi se mi, da bi v tej situaciji lahko deloval naslednji recept: ustvariti morate dve skupini, poimenujemo ju PCComission in UserComission.
V svojo sestavo vključite računalnike oziroma uporabnike komisijskega oddelka.
Nato ustvarite predmet skupinsko politiko in se povežite z OU SUS, tako da odstranite pravilnik uporabe neposredno iz skupine Auth Users in ga namesto tega dodate skupini PCComission. Nato v lastnostih pravilnika z uporabo mehanizma omejevanja članstva v skupini izključite domensko skupino Uporabniki domene iz lokalne skupine Uporabniki, vendar dodajte skupino UserComission

Vadim, poudaril sem, da se motite, ker vaš recept ne bo deloval: izključitev uporabnikov domene iz vgrajene skupine uporabnikov računalnika ne bo omejila uporabnikov domene na lokalni vnos na ta računalnik. To je vse. Ne bodite užaljeni, toda vaše "zdi se mi, da ..." je treba prej preveriti in ponuditi kot recept. Zapomnite si / preverite stanje tipičnega članstva "Builtin \ Users" na članskem računalniku v domeni AD, o privilegijih, končno ...
Da, in še nekaj, ni vam treba vaditi sami, kaj šele svetovati neizkušenemu administratorju, naj brez utemeljenega razloga spremeni referenčni model varnosti. Prvič, s tem boste prinesli več težav kot dobite bonuse, in drugič - lahko vas prikrajša za tehnično podporo!
Vadim, če mi lahko razložiš, kje se motim, ti bom hvaležen. :)
V tem novem pojavnem meniju s seznama izberite uporabnika, ki mu bo onemogočen dostop do vaših dokumentov. V polju Dovoljenja za označite potrditvena polja v desnem stolpcu za vse razpoložljive možnosti. Postopek ponovite za vse račune, na katerih ščitite tak imenik.

Zanimiv nasvet je, da uporabite to zaščitno metodo za zavrnitev dostopa do glavnega imenika, ki vsebuje vse vaše dokumente in informacije. račun uporabnik. Ena od potrošniških sanj mnogih ljudi je orodje ali aplikacija, ki nadzoruje vse, kar se izvaja na računalniku, od odprtih programov do sistemskih sprememb.
Dodaj: Vadim in o predmetu pravilnika. No, naj UCP vzame vsaj 10 megabajtov v SYSVOL in enako količino v vsebniku AD - pa kaj? Replikacija je optimizirana, odjemalec UCP ne prenese petkrat na dan, skrbnik pa ga ne spreminja, ker ni kaj storiti - kajne? Na splošno je bolje ustvariti več OCP in pogosto - to je edini način, kot je brskati po vinaigretu.
Tu lahko konfigurirate različne nastavitve ne samo za uporabnike, ampak tudi za računalnik. Imeli boste več možnosti konfiguracije, kot so upravljanje porabe, uporabniški profili, prijava in drugo. Tu vnesete imena programov, ki jih je treba zakleniti. Na levi strani imate tri možnosti: Ni konfigurirano, Omogočeno in Onemogočeno. Izberite zadnjega. Tako vam bo okno Pokaži, ki je bilo onemogočeno, omogočilo, da določite določene programe, ki jih je mogoče odpreti na vašem računalniku.

Če želite na seznam dodati programe, preprosto vnesite imena tistih, do katerih lahko dostopate. Prosimo, vnesite natančno ime izvedljivo datoteko programi. Poleg tega lahko samo uporabnike s tega seznama odprete samo na tem seznamu. Če želite znova sprostiti vse programe za uporabo, preprosto izberite možnost »Onemogočeno« v zgornjem levem kotu strani.
Hvala moji ženi Katya, Klevogin S.P., Kozlov S.V., Muravlyannikov N.A., Nikitin I.G., Shapiro L.V. za moje znanje! :)

Dmitry, pravzaprav sem razložil že v eni od prejšnjih objav te teme: 21. avgust 2009 10:26.
No, gremo spet. Moj predlog je bil zamisel, da bi z mehanizmom »Omejene skupine« spremenili sestavo lokalne skupine Uporabniki/Uporabniki na računalnikih komisijskega oddelka, tako da se uporabniki prodajnega oddelka ne bi mogli prijaviti vanje (potem vse, s članstvom v tej skupini imajo tako pravico). Res je, da sem mimogrede oblikoval to idejo, pravilno je bilo reči, da ne "izključi domensko skupino uporabnikov domene iz lokalne skupine uporabnikov", ampak "počisti lokalno skupino uporabnikov", ampak ne spremeni bistva, saj pravilnik, ko je uporabljen, samo počisti skupino, preden jo doda izrecno določeno v razdelku Omejene skupine. V tem primeru si torej ni treba zapomniti privzete sestave skupine. Čeprav ne boli;) In ne samo, da se spomnim privilegijev, ampak tudi predlagam njihovo uporabo, in sicer Dovoli prijavo lokalno.
Če še vedno česa ne razumete, vprašajte posebej - poskušal bom razložiti bolj jasno.
Dmitrij, tudi sam vidim nekaj bonusov. In pred katerimi konkretnimi težavami svarite mene in druge neizkušene administratorje v zvezi s spremembo sestave skupine Uporabniki?
In razloži mi za božjo voljo, kako bi to lahko vplivalo tehnična podpora? In čigav?
No, in o velikosti predmeta politike. Če niste našli krmilnika za kanalom 128k in niste replicirali skoraj vso življenjsko dobo nagrobnih objektov pri pregledovanju infrastrukture stranke, potem vam ne bo lahko razumeti moje skrbi;) To je kljub dejstvu da je bilo število GPO več kot 100.
In vaša izjava, da je "bolje ustvariti več UCP in pogosto - to je edini način, da je to mogoče", mi na primer ni očitna.
Sem zagovornik nasprotnega stališča: če obstajata dve možnosti za rešitev problema, z ustvarjanjem skupine ali GPO, izberem prvo.
Zame je bolj priročno izvajati prenos pooblastil. Trajanje postopka prenosa/prijave je neposredno odvisno od števila uporabljenih GPO. Ampak, spet, to je stvar okusa.

Upajmo, da je tehnični del bolj jasen.
Potem, Dmitrij, nekaj besed o etiki razprave.
1. Če ste že izrazili svoje mnenje o moji napačnosti, bi rad videl argumentacijo tega mnenja v isti objavi.
2. " Ne bodite užaljeni, toda vaše "zdi se mi, da ..." je treba prej preveriti in ponuditi kot recept."Torej nisem bil preveč len in še enkrat preveril - recept deluje. Ali ste ga sami preverili, preden ste trdili, da" recept ne bo deloval "? Zato vam vračam vaše besede: preden kar koli kategorično navedete , bi bilo lepo da preverite svojo izjavo s poskusom.
3. Hvala za vaš nasvet, vendar vas zanj nisem prosil. Čeprav ne izključujem, da bom nekega dne kontaktiral :)
Naj mi Vitaliy Shestakov odpusti še en plamen.

Čeprav ta sistemska konfiguracija deluje dobro, ni zanesljiva. Če nekdo dostopa do programa preko ukazna vrstica ali z "launch" so vse nastavitve, ki jih ustvarite, prezrte, saj imata obe funkciji privilegije, ki so večje od tistih, ki ste jih nastavili.

Omeniti velja tudi, da so te možnosti za sistemske komponente. Zato pazite, da ne spremenite pomembnih podatkov, saj lahko v resnejših primerih poškodujete računalnik. Varnost ni nikoli prevelika, vendar morate vse organizirati zmerno in ne pozabite izdati pomembnih programov za uporabo.

Danes bomo še naprej govorili o računalniški varnosti. In še en korak v tej smeri – uporabnik.

Pri namestitvi operacijske sobe Windows sistemi uporabniku so podeljene skrbniške pravice. Z drugimi besedami, ima absolutno svobodo delovanja na osebnem računalniku. Toda zlonamerna programska oprema, ki je pridobila dostop do računalnika, je obdarjena z enakimi pravicami. In to je že resna ranljivost v našem varnostnem sistemu. Čas je, da zakrpamo luknje.

Če računalnik delite z drugimi, je pogosto treba nekatere datoteke zaščititi z geslom, da vsi uporabniki računalnika ne morejo dostopati do podatkov, ki jih vsebujejo. Prikaže se zaslon datotečni sistem kot v spodnjem primeru.

Zato se lahko začnemo spreminjati zdaj. Sistem privzeto prikaže sporočilo, da nima programskih omejitev. Nato pojdite v mapo Dodatna pravila. Ko je to storjeno, je mogoče vizualizirati, da ima sistem štiri poti pravil. V tem koraku kliknite desni klik zaslon miške v skladu s temi pravili. Prikaže se meni in izberite Novo pravilo poti.

V tem članku bomo analizirali algoritem za prehod s skrbniškega računa na varnejši račun, pri čemer bomo ohranili vse nastavitve.

Zakaj je potrebna omejitev računa?

1. Vse programskih izdelkov zagnan s skrbniškimi pravicami, pridobite popolno svobodo delovanja na osebnem računalniku, kar bodo zagotovo uporabljali razvijalci zlonamerne kode (virusi in nevarni skripti).

Na zaslonu, ki se prikaže, morate določiti, kateri programi bodo blokirani. Določite lahko pot do njih ali kliknete gumb »Išči«, da si ogledate in izberete s seznama. Po izbiri programa v razdelku "Stopnja varnosti" določite želeno stopnjo.

Ko izberete možnost varnostnega razreda, lahko v polje "Opis" dodate informacije o razlogu za blokiranje ali katero koli priročno specifikacijo. Ko je postopek končan, kliknite Uporabi, V redu in znova zaženite računalnik, da bodo spremembe začele veljati.

Pripravljeno, vaše nove nastavitve so uporabljene. Ko program vnesete v ta pravila, se ob vsakem poskusu prikaže sporočilo o blokiranju dostopa. Zanimivo pa je, da ure in dneve v tednu beležite hkrati, tako da vam ni treba spreminjati vsak dan.

Na primer, da se virus lahko "registrira" v vaš operacijski sistem, mora spremeniti vnose v registru. Uporabnik z omejenimi pravicami ne bo mogel spreminjati nastavitev OS. Posledično zlonamerni virus, zagnan z enakimi omejenimi pravicami, ne bo mogel prebiti zaščite sistemskih nastavitev in pustiti "sled" v vašem registru.

Vstopite v meni Start in nadzorno ploščo. Nato kliknite gumb "Ustvari nov račun". In dodajte ime za račun. Pustite izbrano možnost Privzeti uporabnik, da ne bodo imeli dovoljenja za spreminjanje nastavitev računalnika.

Na naslednjem zaslonu si lahko ogledate vse uporabnike, ki obstajajo v vašem računalniku. V razdelku Nastavitve starševskega nadzora kliknite Nastavitve. Upoštevajte, da vas sporočilo obvešča, da v skrbniškem računu ni registrirano geslo, kar pomeni, da boste morali v skrbniški račun dodati geslo, da uporabnik ne onemogoči zaklepanja. Zato izberite skrbniški račun in zanj nastavite geslo.

Ko dostopate do interneta s skrbniškimi pravicami, pomagate napadalcu ukrasti vaša gesla, poverilnice, shranjene v sistemskih datotekah OS. Nevaren skript, ki ima skrbniške pravice, bo prebral vse vaše skrivnosti in jih posredoval svojemu lastniku.

Z ustvarjanjem omejitve za uporabniški račun ne boste le rešili teh težav, ampak tudi preprečili, da bi pogost virus vdrl v vaš računalnik (pornična pasica, ki blokira vaš računalnik).

Vnesite svoje geslo, namig za geslo in pustite izbrani element. Če želite za vse skrbniške račune nastaviti geslo, če imate drug skrbniški račun, boste morali nastaviti geslo za ta drugi račun. Nazaj v upravitelju računa upoštevajte, da so skrbniki že zaščiteni z geslom, zdaj kliknite privzetega uporabnika, da konfigurirate dostop.

V tej tabeli imate 24 ur na dan in 7 dni v tednu, da izberete samo s klikom na ustrezen strip, kliknite in povlecite, če je potrebno, da naredite več izbir. Nazaj v kontrolniku po meri kliknite Igre. Tukaj izberete, kaj lahko vaš otrok igra ali ne, in izberete vrsto ocene igre spodaj.

2. Neizkušeni uporabniki lahko s skrbniškimi pravicami po nesreči naredijo kritične spremembe v sistemu datoteke Windows, s čimer se OS spravi v nedelujoče stanje. Zaščitite svoj sistem pred naključnimi napakami - zmanjšajte pravice uporabnika.

Spreminjanje pravic uporabniškega računa

Ker operacijski sistemže imamo nameščen in deluje normalno, potem bomo šli po naslednji poti: spremenili bomo vrsto predhodno ustvarjenega računa (z znižanjem njegovih pravic) in dodali novega uporabnika s skrbniškimi pravicami (v imenu katerega bomo izvajali spremeni v sistemske datoteke OS in register).

V parametrih ocenjevanja igre imate seznam s različni tipi vsebino, preverite, kaj potrebujete, in potrdite. Na enak način se boste odločili, da bo ta uporabnik lahko uporabil. Če želite preklicati dostop, preprosto sledite istim korakom in označite urnike in igre, ki ste jih blokirali za svojega otroka. Če imate kakršna koli vprašanja, ne oklevajte in stopite v stik s komentarji ali prek foruma seminarja.

Toda Lisa ne sme uporabljati programske opreme za skupno rabo takojšnje sporočanje... In Maggie noče, da bi Lisa prebrala njene osebne dokumente. Če želite izvedeti datotečni sistem s pomočjo vašega trdi disk, z desno tipko miške kliknite ikono na trdem disku in v pojavnem meniju, ki se prikaže, izberite Lastnosti in datotečni sistem, ki ga uporabljate, je jasno viden.

1. Prvi korak je urediti stvari z obstoječimi računi. Če želite to narediti, pojdite v Center za nadzor računa (z desno miškino tipko kliknite ikono "Moj računalnik" -> "Upravljanje" -> "Lokalni uporabniki in skupine" -> "Uporabniki").

Izbrišite vse vnose razen obstoječega in gosta (ki naj bo onemogočen).

Izbira # 1: Zaščita dokumentov. 2. možnost: zagotovite dokumente vsem. Privzeto imajo vsi uporabniki dostop do njega. Obrnjene medalje: lahko jih odstranijo ali spremenijo. Izbira #3: Natančnejši nadzor nad pravicami dostopa do dokumentov. Toda ta vrsta izmenjave med dokumenti, ki so dostopni vsem in so popolnoma zavarovani, v določenih situacijah morda ne bo zadostovala. Nastavitev nadzora dostopa lahko prilagodite tako, da Lisa dovoli Bartu, da kopira njeno razredno nalogo, Maggie pa jo spremeni, vendar omogoči napredno skupno rabo datotek.

2. Znižanje pravic obstoječega računa na raven navadnega uporabnika ne bo delovalo, saj mora imeti sistem uporabnika s skrbniškimi pravicami. Zato bomo najprej ustvarili drugega skrbnika, šele nato bomo znižali pravice trenutnega uporabnika.

Vendar pa lahko do njega dostopate tako, da zaženete sistem na varni način... Če pa želite uporabiti napredne možnosti skupne rabe, razpakirajte meni Start iz skrbniškega računa in izberite Moj računalnik. Uporabniki lahko z visoko natančnostjo določijo pravice dostopa do svojih dokumentov ali katalogov. Omejitve prevladajo nad dovoljenji. Če na primer zavrnete branje dokumenta za skupino uporabnikov, na katero so Bart, Maggie in Lisa privzeto vezani, in ustvarite posebno dovoljenje za branje za enega od njih, bo dostop vseeno zavrnjen.

Če želite to narediti, z desno tipko miške kliknite element "Uporabniki" -> izberite " Nov uporabnik… “. V oknu, ki se odpre, določite ime novega skrbnika, njegovo geslo, potrdite polje »Geslo ne poteče« in kliknite gumb »Ustvari«.

Račun, ki smo ga ustvarili, bo imel pravice običajnega uporabnika. Če mu želite dati status pravega skrbnika, ga morate dodati v ustrezno skupino uporabnikov. Če želite to narediti, dvokliknite nov račun, pojdite na zavihek "Članstvo v skupini" -> pritisnite gumb "Dodaj".

Želi, da Maggie prebere ta dokument. Lisa z desno tipko miške klikne to datoteko in v pojavnem meniju, ki se prikaže v oknu Lastnosti, izbere Lastnosti in klikne zavihek Varnost. Maggie manjka na seznamu skupin in uporabnikov, za katere so določene pravice. Zdaj s seznama izbere ime Maggie. Izbere potrditveno polje Branje v stolpcu Dovoli. Zdaj je Maggie dostopala do te datoteke iz svoje seje, vendar je ne more spremeniti.

Izbira #4: Namestite aplikacije, ki so na voljo vsem. Privzeto so vse aplikacije, ki jih namesti skrbnik, na voljo drugim uporabnikom, vendar lastniki omejenih računov ne morejo namestiti novih programov, na primer boste namestili pripomoček za stiskanje za svojo sejo.

V bloku »Vnesite ime predmeta« napišite »Administratorji« in kliknite »V redu« -> gumb »Uporabi«.

3. Zdaj je čas, da se lotimo degradacije trenutnega uporabnika. Če želite to narediti, izberite trenutnega uporabnika na seznamu in naredite vse iste operacije, kot sem opisal zgoraj. Šele zdaj je treba dodati zapis "Uporabniki" in izbrisati zapis "Skrbniki".

Izbira # 5: Prilagodite aplikacije. Nastavitve aplikacije so običajno povezane z vsakim uporabnikom. Vsak ima lahko svoj račun E-naslov, z nastavitvami povezave in poštni predal... Dovolj je, da namestite programe iz sej vsakega uporabnika. 6. možnost: Omejite dostop do aplikacij.

Če želite omejiti dostop do aplikacije, na primer do programsko opremo za takojšnje sporočanje prikažite okno lastnosti izvedljive datoteke programa. Tako kot pri vaših dokumentih boste na zavihku Varnost poleg zainteresiranih uporabnikov označili potrditveno polje Preberi in izvrši. Vse programe lahko namestite v imenik, katerega dovoljenja boste natančno določili, nove skupine lahko definirate z orodjem za upravljanje računalnika, ki je na voljo na nadzorni plošči.

4. Po vsem opravljenem se odjavite in znova zaženite računalnik.

Torej ste shranili vse nastavitve, vendar ste znižali status uporabnika in omejili njegove pravice. Zdaj, če želite narediti kakršne koli spremembe v sistemu, boste morali dostopati do računa novoustvarjenega skrbnika.

Kako deluje?

V sistemu delate kot običajno in zaženete znane programe. Če boste nenadoma morali spremeniti sistemske datoteke, odprite register ali namestite nov program, lahko to storite na dva načina: bodisi končate trenutno sejo in se prijavite pod skrbniškim računom, uporabite skrbniško »moč«, ne da bi zapustili trenutni račun.

Orodje za skrito skupinsko strategijo ponuja več možnosti za omejitev dostopa do različnih komponent vašega računalnika. Bodite previdni pri uporabi. Tako lahko na primer določite seznam nepooblaščenih aplikacij za vse uporabnike. Na zavihku Nastavitve izberite potrditveno polje Omogočeno, kliknite gumb Pokaži in kliknite Dodaj. Med brskanjem po internetu veliko ljudi v uporabnikovem domu grozi, da bodo dihali. Zaradi velikega števila varnostnih ranljivosti v internetnih aplikacijah je možno "ujeti" različne elektronske zadetke, klicalce, viruse, vohunsko programsko opremo, adware.

Če želite to narediti, z desno tipko miške kliknite program, ki se zažene, in izberite "Zaženi kot ..." -> v oknu, ki se prikaže, določite skrbniški račun in vnesite skrbniško geslo -> kliknite "V redu". Tako lahko zaženete katero koli aplikacijo s skrbniškimi pravicami, ne da bi zapustili svoj trenutni račun.

nasvet:

To tveganje še dodatno otežuje dejstvo, da večina domačih uporabnikov uporablja drag računalnik. V tem primeru npr. To bo stroga uporaba računa omejenega računa. Vendar pa v domačem okolju ta račun postane zelo omejujoč - številne aplikacije zahtevajo skrbniške pravice, tudi če uporabljate običajen račun, je nemogoče zagnati nekatere sistemske nastavitve ali tako. Programer za lestve.

Vendar je tak brskalnik ali e-poštni odjemalec zelo nepraktičen – otežuje zagon spletnega brskalnika pod drugim uporabniškim računom, klik na povezavo v e-poštnem sporočilu ali v aplikaciji otežuje zagon brskalnika, uporabnik pa je večja verjetnost, da boste dobili kakšno zlonamerno programsko opremo, preden bodo takšne omejitve sprejete.

Bodite resni pri izbiri gesla za skrbnika. Bolj zapleteno in daljše kot je geslo, težje ga bo napadalec razbil.
Ker boste le redko uporabljali nov skrbniški račun, si geslo, ki ste ga ustvarili, zapišite na varno mesto.
Dodaten varnostni ukrep bo preimenovanje ustvarjenega skrbnika (na primer namesto »Administrator« -> »Sergey«. Tako ustvarite dodatno oviro za napadalca.