ข้อ จำกัด บัญชี Windows 7 จะ จำกัด การเข้าถึงคอมพิวเตอร์สำหรับบัญชีได้อย่างไร? มันทำงานอย่างไร

สำหรับฉันดูเหมือนว่าในสถานการณ์นี้ สูตรต่อไปนี้อาจใช้ได้: คุณต้องสร้างสองกลุ่ม เรียกว่า PCComission และ UserComission
รวมไว้ในคอมพิวเตอร์ประกอบและผู้ใช้แผนกคอมมิชชันตามลำดับ
ต่อไป สร้างวัตถุ นโยบายกลุ่มและเชื่อมโยงไปยัง OU SUS ลบสิทธิ์นโยบายที่ใช้จากกลุ่มผู้ใช้ Auth เพิ่มลงในกลุ่ม PCComission แทน หลังจากนั้นในคุณสมบัติของนโยบายโดยใช้กลไกการจำกัดความเป็นสมาชิกกลุ่ม ให้แยกกลุ่มโดเมน Domain Users ออกจากกลุ่ม Local Users แต่เพิ่มกลุ่ม UserComission

Vadim ฉันชี้ให้เห็นว่าคุณเข้าใจผิดเพราะสูตรของคุณใช้ไม่ได้: การยกเว้นผู้ใช้โดเมนจากกลุ่มผู้ใช้คอมพิวเตอร์ในตัวจะไม่จำกัดผู้ใช้โดเมน อินพุตท้องถิ่นไปยังคอมพิวเตอร์เครื่องนี้ นั่นคือทั้งหมดที่ อย่าโกรธเคือง แต่คุณควรตรวจสอบ "ดูเหมือนว่า ... " ของคุณก่อนเสนอเป็นสูตร จำ / ตรวจสอบสถานะของการเป็นสมาชิก "Builtin \ Users" ทั่วไปบนคอมพิวเตอร์สมาชิกในโดเมน AD เกี่ยวกับสิทธิ์ในที่สุด ...
ใช่ และอีกอย่าง คุณไม่จำเป็นต้องฝึกฝนตัวเอง นับประสาแนะนำให้ผู้ดูแลระบบที่ไม่มีประสบการณ์เปลี่ยนรูปแบบการอ้างอิงความปลอดภัยโดยไม่มีเหตุผลที่ดี อย่างแรก การทำเช่นนี้คุณจะนำมา ปัญหามากขึ้นมากกว่ารับโบนัส และประการที่สอง - มันสามารถกีดกันคุณจากการสนับสนุนทางเทคนิค!
Vadim ถ้าคุณสามารถอธิบายว่าฉันผิดตรงไหนฉันจะขอบคุณคุณ :)
ในเมนูป๊อปอัปใหม่นี้ ให้เลือกจากรายชื่อผู้ใช้ที่จะถูกปฏิเสธการเข้าถึงเอกสารของคุณ ในกล่อง สิทธิ์สำหรับ ให้เลือกกล่องกาเครื่องหมายในคอลัมน์ด้านขวาสำหรับตัวเลือกที่มีทั้งหมด ทำซ้ำขั้นตอนสำหรับบัญชีทั้งหมดที่คุณกำลังปกป้องไดเรกทอรีดังกล่าว

เคล็ดลับที่น่าสนใจคือการใช้วิธีการป้องกันนี้เพื่อปฏิเสธการเข้าถึงไดเร็กทอรีหลัก ซึ่งมีเอกสารและข้อมูลทั้งหมดจากตัวคุณเอง บัญชีผู้ใช้ผู้ใช้ หนึ่งในความฝันของผู้บริโภคหลายคนคือเครื่องมือหรือแอปพลิเคชันที่ควบคุมทุกอย่างที่ทำบนคอมพิวเตอร์ ตั้งแต่โปรแกรมที่เปิดอยู่ไปจนถึงการเปลี่ยนแปลงระบบ
เพิ่ม: Vadim และเกี่ยวกับวัตถุของนโยบาย ให้ UCP ใช้อย่างน้อย 10 เมกะไบต์ใน SYSVOL และจำนวนเท่ากันในคอนเทนเนอร์ AD - แล้วไง การจำลองแบบได้รับการปรับให้เหมาะสม ไคลเอ็นต์ไม่ดาวน์โหลด UCP ซ้ำห้าครั้งต่อวัน และผู้ดูแลระบบไม่เปลี่ยนแปลงเนื่องจากไม่มีอะไรต้องทำ ใช่ไหม โดยทั่วไปแล้ว จะดีกว่าที่จะสร้าง OCP มากขึ้นและบ่อยครั้ง - นี่เป็นวิธีเดียวที่ทำได้ มากกว่าที่จะแหย่ใน vinaigrette
ที่นี่คุณสามารถกำหนดการตั้งค่าต่างๆ ได้ ไม่เพียงแต่สำหรับผู้ใช้แต่สำหรับคอมพิวเตอร์ด้วย คุณจะมีตัวเลือกการกำหนดค่าต่างๆ เช่น การจัดการพลังงาน โปรไฟล์ผู้ใช้ การเข้าสู่ระบบ และอื่นๆ นี่คือที่ที่คุณป้อนชื่อของโปรแกรมที่ต้องล็อค ทางด้านซ้าย คุณมีสามตัวเลือก: ไม่ได้กำหนดค่า เปิดใช้งาน และปิดใช้งาน เลือกอันสุดท้าย ดังนั้น หน้าต่างแสดง ซึ่งถูกปิดใช้งาน จะช่วยให้คุณสามารถระบุโปรแกรมเฉพาะที่สามารถเปิดบนคอมพิวเตอร์ของคุณได้

หากต้องการเพิ่มโปรแกรมลงในรายการ ให้ป้อนชื่อโปรแกรมที่สามารถเข้าถึงได้ กรุณากรอกชื่อให้ถูกต้อง ไฟล์ปฏิบัติการโปรแกรม นอกจากนี้ เฉพาะผู้ใช้จากรายการนี้เท่านั้นที่สามารถเปิดได้ในรายการนี้เท่านั้น หากคุณต้องการทำให้โปรแกรมทั้งหมดใช้งานได้อีกครั้ง ให้เลือกตัวเลือก "ปิดการใช้งาน" ที่มุมซ้ายบนของหน้า
ขอบคุณ Katya ภรรยาของฉัน, Klevogin S.P. , Kozlov S.V. , Muravlyannikov N.A. , Nikitin I.G. , Shapiro L.V. สำหรับความรู้ของฉัน! :)

อันที่จริง Dmitry ฉันได้อธิบายไปแล้วในหนึ่งในโพสต์ก่อนหน้าของกระทู้นี้: 21 สิงหาคม 2552 10:26 น.
ป่ะ ไปกันใหม่ ข้อเสนอของฉันประกอบด้วยแนวคิดที่จะเปลี่ยนแปลงโดยใช้กลไก "กลุ่มที่จำกัด" องค์ประกอบของกลุ่มผู้ใช้ / ผู้ใช้ในพื้นที่บนคอมพิวเตอร์ของแผนกคอมมิชชันเพื่อให้ผู้ใช้ของฝ่ายขายไม่สามารถเข้าสู่ระบบได้ (หลังจาก ล้วนแต่ผ่านการเป็นสมาชิกในกลุ่มนี้เท่านั้นจึงจะมีสิทธิดังกล่าว) จริงฉันกำหนดแนวคิดนี้โดยไม่ได้ตั้งใจ มันถูกต้องที่จะบอกว่าไม่ใช่ "ยกเว้นกลุ่มโดเมนผู้ใช้โดเมนจากกลุ่มผู้ใช้ในเครื่อง" แต่ "ล้างกลุ่มผู้ใช้ในเครื่อง" แต่ มันไม่ได้เปลี่ยนสาระสำคัญเนื่องจากนโยบาย เมื่อนำไปใช้ เพียงแค่ล้างกลุ่มก่อนที่จะเพิ่มระบุไว้อย่างชัดเจนในส่วนกลุ่มที่จำกัด ดังนั้นในกรณีนี้ ไม่จำเป็นต้องจำองค์ประกอบเริ่มต้นของกลุ่ม แม้ว่ามันจะไม่เจ็บ;) และฉันไม่เพียงจำสิทธิพิเศษเท่านั้น แต่ฉันยังเสนอให้ใช้คืออนุญาตการเข้าสู่ระบบในเครื่อง
หากคุณยังไม่เข้าใจบางสิ่ง ให้ถามเฉพาะเจาะจง - ฉันจะพยายามอธิบายให้ชัดเจนยิ่งขึ้น
มิทรีฉันเห็นโบนัสด้วยตัวเอง และปัญหาใดที่คุณเตือนฉันและผู้ดูแลระบบที่ไม่มีประสบการณ์อื่น ๆ เกี่ยวกับการเปลี่ยนแปลงในองค์ประกอบของกลุ่มผู้ใช้
และอธิบายให้ฉันฟังด้วยเห็นแก่สวรรค์ว่าสิ่งนี้จะส่งผลอย่างไร การสนับสนุนทางเทคนิค? และใคร?
และเกี่ยวกับขนาดของวัตถุทางการเมือง หากคุณไม่พบตัวควบคุมหลังช่องสัญญาณ 128k และไม่ทำซ้ำเกือบตลอดอายุการใช้งานของวัตถุหลุมฝังศพเมื่อตรวจสอบโครงสร้างพื้นฐานของลูกค้า มันจะไม่ง่ายสำหรับคุณที่จะเข้าใจข้อกังวลของฉัน;) นี่คือความจริง ว่ามี GPO มากกว่า 100 แห่ง
และคำกล่าวของคุณที่ว่า "ดีกว่าที่จะสร้าง UCP มากขึ้นและบ่อยครั้ง - นี่เป็นวิธีเดียวที่เป็นไปได้" ตัวอย่างเช่น ไม่ชัดเจนสำหรับฉัน
ฉันเป็นผู้สนับสนุนมุมมองที่ตรงกันข้าม: หากมีสองตัวเลือกในการแก้ปัญหา โดยการสร้างกลุ่มหรือ GPO ฉันจะเลือกตัวเลือกแรก
สะดวกกว่าสำหรับฉันที่จะใช้การมอบอำนาจ และระยะเวลาของกระบวนการดาวน์โหลด / เข้าสู่ระบบขึ้นอยู่กับจำนวน GPO ที่ใช้โดยตรง แต่นี่เป็นเรื่องของรสนิยมอีกครั้ง

หวังว่าส่วนทางเทคนิคจะชัดเจนขึ้น
จากนั้นมิทรี คำสองสามคำเกี่ยวกับจริยธรรมของการสนทนา
1. หากคุณได้แสดงความคิดเห็นเกี่ยวกับความผิดของฉันแล้ว ฉันต้องการดูข้อโต้แย้งของความคิดเห็นนี้ในโพสต์เดียวกัน
2. " อย่าโกรธเคือง แต่คุณควรตรวจสอบ "ดูเหมือนว่า ... " ของคุณก่อนเสนอเป็นสูตร“งั้นฉันไม่ขี้เกียจเกินไปและตรวจสอบอีกครั้ง - สูตรใช้งานได้ คุณตรวจสอบตัวเองก่อนที่จะอ้างว่า " สูตรจะไม่ทำงาน " ดังนั้นฉันจึงคืนคำพูดของคุณ: ก่อนที่คุณจะระบุหมวดหมู่ใด ๆ คงจะดี เพื่อตรวจสอบคำชี้แจงของคุณโดยการทดสอบ
3. ขอบคุณสำหรับคำแนะนำของคุณ แต่ฉันไม่ได้ถามคุณ แม้ว่าฉันจะไม่ได้ยกเว้นว่าสักวันฉันจะติดต่อไป :)
ขอให้ Vitaliy Shestakov ยกโทษให้ฉันด้วยเปลวไฟอื่น

แม้ว่าการกำหนดค่าระบบนี้จะทำงานได้ดี แต่ก็ไม่น่าเชื่อถือ หากมีคนเข้าใช้โปรแกรมผ่าน บรรทัดคำสั่งหรือผ่าน "เปิด" การตั้งค่าทั้งหมดที่คุณสร้างจะถูกละเว้น เนื่องจากทั้งสองฟังก์ชันมีสิทธิ์ที่มากกว่าที่คุณตั้งไว้

เป็นที่น่าสังเกตว่าตัวเลือกเหล่านี้มีไว้สำหรับส่วนประกอบของระบบ ดังนั้น ระวังอย่าเปลี่ยนแปลงข้อมูลสำคัญ เนื่องจากอาจทำให้คอมพิวเตอร์เสียหายได้ในกรณีที่ร้ายแรงกว่านั้น ความปลอดภัยไม่เคยดีเกินไป แต่คุณต้องจัดระเบียบทุกอย่างในปริมาณที่พอเหมาะ อย่าลืมปล่อยโปรแกรมสำคัญเพื่อใช้งาน

วันนี้เราจะพูดถึงความปลอดภัยของคอมพิวเตอร์กันต่อไป และอีกหนึ่งขั้นตอนในทิศทางนี้ - ผู้ใช้

เมื่อติดตั้งห้องผ่าตัด ระบบ Windowsผู้ใช้จะได้รับสิทธิ์ของผู้ดูแลระบบ กล่าวอีกนัยหนึ่ง เขามีอิสระเต็มที่ในการดำเนินการบนพีซี แต่ซอฟต์แวร์ที่เป็นอันตรายเมื่อเข้าถึงคอมพิวเตอร์ก็มีสิทธิ์เช่นเดียวกัน และนี่เป็นช่องโหว่ที่ร้ายแรงในระบบรักษาความปลอดภัยของเราอยู่แล้ว ถึงเวลาที่จะแก้ไขหลุม

หากคุณใช้คอมพิวเตอร์ร่วมกับผู้อื่น มักจะจำเป็นต้องปกป้องไฟล์บางไฟล์ด้วยรหัสผ่านเพื่อไม่ให้ผู้ใช้คอมพิวเตอร์ทุกคนสามารถเข้าถึงข้อมูลที่อยู่ในนั้นได้ หน้าจอปรากฏขึ้นแสดง ระบบไฟล์ดังตัวอย่างด้านล่าง

ดังนั้นเราจึงสามารถเริ่มเปลี่ยนแปลงได้ในขณะนี้ ตามค่าเริ่มต้น ระบบจะแสดงข้อความว่าไม่มีข้อจำกัดของซอฟต์แวร์ จากนั้นไปที่โฟลเดอร์กฎเพิ่มเติม เมื่อทำเสร็จแล้ว จะสามารถมองเห็นได้ว่าระบบมีเส้นทางกฎสี่เส้นทาง ในขั้นตอนนี้ คลิก คลิกขวาหน้าจอเมาส์ตามกฎเหล่านี้ เมนูจะปรากฏขึ้นและคุณต้องเลือกกฎเส้นทางใหม่

ในบทความนี้ เราจะวิเคราะห์อัลกอริทึมสำหรับการเปลี่ยนจากผู้ดูแลระบบไปเป็นบัญชีที่ปลอดภัยยิ่งขึ้น โดยคงการตั้งค่าทั้งหมดไว้

ทำไมการจำกัดบัญชีจึงจำเป็น?

1. ทั้งหมด ผลิตภัณฑ์ซอฟต์แวร์เปิดตัวด้วยสิทธิ์ของผู้ดูแลระบบ รับอิสระเต็มที่ในการดำเนินการบนพีซี ซึ่งจะถูกใช้โดยนักพัฒนาโค้ดที่เป็นอันตราย (ไวรัสและสคริปต์อันตราย)

บนหน้าจอที่ปรากฏขึ้น คุณต้องระบุว่าโปรแกรมใดจะถูกบล็อก คุณสามารถระบุเส้นทางไปยังพวกเขาหรือคลิกปุ่ม "ค้นหา" เพื่อดูและเลือกจากรายการ หลังจากเลือกโปรแกรมในส่วน "ระดับความปลอดภัย" แล้ว ให้กำหนดระดับที่ต้องการ

หลังจากเลือกตัวเลือกระดับความปลอดภัยแล้ว คุณสามารถเพิ่มข้อมูลเกี่ยวกับสาเหตุของการบล็อกหรือข้อกำหนดที่สะดวกใดๆ ลงในฟิลด์ "คำอธิบาย" เมื่อดำเนินการเสร็จสิ้น ให้คลิก Apply, OK และรีสตาร์ทคอมพิวเตอร์เพื่อให้การเปลี่ยนแปลงมีผล

พร้อมแล้ว การตั้งค่าใหม่ของคุณถูกนำไปใช้ หลังจากที่โปรแกรมเข้าสู่กฎเหล่านี้แล้ว จะมีข้อความปรากฏขึ้นเพื่อแจ้งการบล็อกการเข้าถึงทุกครั้งที่มีการพยายามทำ และสิ่งที่น่าสนใจคือคุณบันทึกเวลาและวันในสัปดาห์พร้อมกัน ดังนั้นคุณจึงไม่ต้องปรับแต่งทุกวัน

ตัวอย่างเช่น เพื่อให้ไวรัสสามารถ "ลงทะเบียน" ในระบบปฏิบัติการของคุณได้ จำเป็นต้องทำการเปลี่ยนแปลงรายการรีจิสทรี ผู้ใช้ที่มีสิทธิ์แบบจำกัดจะไม่สามารถเปลี่ยนแปลงการตั้งค่าระบบปฏิบัติการได้ ดังนั้น ไวรัสที่เป็นอันตรายซึ่งเปิดตัวด้วยสิทธิ์ที่จำกัดเหมือนกัน จะไม่สามารถเจาะผ่านการป้องกันการตั้งค่าระบบและทิ้ง "ร่องรอย" ไว้ในรีจิสทรีของคุณได้

เข้าสู่เมนูเริ่มและแผงควบคุม จากนั้นคลิกปุ่ม "สร้างบัญชีใหม่" และเพิ่มชื่อบัญชี ปล่อยให้ตัวเลือกผู้ใช้เริ่มต้นถูกเลือกไว้เพื่อไม่ให้มีสิทธิ์เปลี่ยนการตั้งค่าคอมพิวเตอร์

ในหน้าจอถัดไป คุณจะเห็นผู้ใช้ทั้งหมดที่มีอยู่ในคอมพิวเตอร์ของคุณ ในส่วนการตั้งค่าการควบคุมโดยผู้ปกครอง ให้คลิกการตั้งค่า โปรดทราบว่าข้อความแจ้งให้คุณทราบว่าไม่มีรหัสผ่านที่ลงทะเบียนในบัญชีผู้ดูแลระบบ นั่นคือ คุณจะต้องเพิ่มรหัสผ่านในบัญชีผู้ดูแลระบบของคุณ เพื่อไม่ให้ผู้ใช้ปิดใช้งานการล็อก ดังนั้น เลือกบัญชีผู้ดูแลระบบและตั้งรหัสผ่านสำหรับบัญชีนั้น

เมื่อคุณเข้าถึงอินเทอร์เน็ตด้วยสิทธิ์ของผู้ดูแลระบบ คุณช่วยผู้โจมตีขโมยรหัสผ่าน ข้อมูลประจำตัวที่จัดเก็บไว้ในไฟล์ระบบ OS สคริปต์อันตรายที่มีสิทธิ์ของผู้ดูแลระบบจะอ่านความลับทั้งหมดของคุณและส่งต่อให้เจ้าของ

การสร้างข้อจำกัดในบัญชีผู้ใช้ คุณจะไม่เพียงแก้ปัญหาเหล่านี้ แต่ยังช่วยป้องกันไวรัสทั่วไปไม่ให้เจาะคอมพิวเตอร์ของคุณ (แบนเนอร์ลามกที่บล็อกคอมพิวเตอร์ของคุณ)

ป้อนรหัสผ่าน คำใบ้รหัสผ่าน และปล่อยให้รายการถูกตรวจสอบ เพื่อให้บัญชีผู้ดูแลระบบทั้งหมดตั้งรหัสผ่านได้ หากคุณมีบัญชีผู้ดูแลระบบอื่น คุณจะต้องตั้งรหัสผ่านสำหรับบัญชีอื่นนั้น กลับมาที่ตัวจัดการบัญชี โปรดทราบว่าผู้ดูแลระบบได้รับการป้องกันด้วยรหัสผ่านแล้ว ตอนนี้ให้คลิกที่ผู้ใช้เริ่มต้นเพื่อกำหนดค่าการเข้าถึง

ในตารางนี้ คุณมีเวลา 24 ชั่วโมงต่อวันและ 7 วันต่อสัปดาห์ให้เลือกโดยคลิกที่การ์ตูนที่เกี่ยวข้อง คลิกและลากหากจำเป็นเพื่อทำการเลือกหลายรายการ กลับไปที่ตัวควบคุมแบบกำหนดเอง คลิกเกม ที่นี่คุณเลือกสิ่งที่บุตรหลานของคุณอาจเล่นหรือไม่เล่น และเลือกประเภทการให้คะแนนเกมด้านล่าง

2. มีสิทธิ์ของผู้ดูแลระบบ ผู้ใช้ที่ไม่มีประสบการณ์สามารถทำการเปลี่ยนแปลงที่สำคัญกับระบบได้โดยไม่ได้ตั้งใจ ไฟล์ Windowsทำให้ OS อยู่ในสถานะใช้งานไม่ได้ ปกป้องระบบของคุณจากข้อผิดพลาดโดยไม่ได้ตั้งใจ - สิทธิ์ของผู้ใช้ที่ต่ำกว่า

การเปลี่ยนสิทธิ์ของบัญชีผู้ใช้

เพราะ ระบบปฏิบัติการเราได้ติดตั้งและใช้งานได้ตามปกติแล้ว จากนั้นเราจะไปตามเส้นทางต่อไปนี้: เราจะเปลี่ยนประเภทของบัญชีที่สร้างไว้ก่อนหน้านี้ (โดยลดสิทธิ์ลง) และเพิ่มผู้ใช้ใหม่ที่มีสิทธิ์ของผู้ดูแลระบบ (เราจะดำเนินการในนามของใคร) เปลี่ยนเป็น ไฟล์ระบบระบบปฏิบัติการและรีจิสตรี)

ในพารามิเตอร์การให้คะแนนเกม คุณมีรายการด้วย ประเภทต่างๆเนื้อหา ตรวจสอบสิ่งที่คุณต้องการและยืนยัน ในทำนองเดียวกัน คุณจะต้องเลือกที่ผู้ใช้รายนี้สามารถใช้ได้ หากต้องการเพิกถอนการเข้าถึง ให้ทำตามขั้นตอนเดิมและเน้นตารางและเกมที่คุณบล็อกสำหรับบุตรหลานของคุณ หากคุณมีคำถามใด ๆ โปรดอย่าลังเลที่จะติดต่อกับความคิดเห็นหรือผ่านทางฟอรัมสัมมนา

แต่ลิซ่าไม่ได้รับอนุญาตให้ใช้ซอฟต์แวร์แชร์ ข้อความโต้ตอบแบบทันที... และแม็กกี้ไม่ต้องการให้ลิซ่าอ่านเอกสารส่วนตัวของเธอ เพื่อค้นหาระบบไฟล์โดยใช้ your HDDให้คลิกขวาที่ไอคอนบนฮาร์ดไดรฟ์ของคุณ และเลือก Properties จากเมนูป๊อปอัปที่ปรากฏขึ้น และระบบไฟล์ที่คุณใช้จะมองเห็นได้ชัดเจน

1. ขั้นตอนแรกคือการจัดสิ่งต่าง ๆ ให้สอดคล้องกับบัญชีที่มีอยู่ ในการดำเนินการนี้ ไปที่ศูนย์ควบคุมบัญชี (คลิกขวาที่ไอคอน "คอมพิวเตอร์ของฉัน" -> "การจัดการ" -> "ผู้ใช้และกลุ่มในเครื่อง" -> "ผู้ใช้")

ลบรายการทั้งหมดยกเว้นรายการที่มีอยู่และแขก (ซึ่งควรปิดการใช้งาน)

ทางเลือก # 1: การปกป้องเอกสาร ตัวเลือกที่ 2: จัดเตรียมเอกสารให้กับทุกคน โดยค่าเริ่มต้น ผู้ใช้ทุกคนสามารถเข้าถึงได้ เหรียญย้อนกลับ: พวกเขาสามารถลบออกหรือเปลี่ยนแปลงได้ ทางเลือก # 3: การควบคุมสิทธิ์การเข้าถึงเอกสารที่แม่นยำยิ่งขึ้น แต่การแลกเปลี่ยนประเภทนี้ระหว่างเอกสารที่ทุกคนเข้าถึงได้และมีความปลอดภัยอย่างสมบูรณ์อาจไม่เพียงพอในบางสถานการณ์ คุณสามารถปรับแต่งการตั้งค่าการควบคุมการเข้าใช้เพื่อให้ Lisa ให้ Bart คัดลอกงานในชั้นเรียนของเธอ และ Maggie ให้เปลี่ยน แต่เปิดใช้งานการแชร์ไฟล์ขั้นสูง

2. จะไม่ทำงานเพื่อลดสิทธิ์ของบัญชีที่มีอยู่เป็นระดับผู้ใช้ทั่วไป เนื่องจากระบบต้องมีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ ดังนั้น ขั้นแรกเราจะสร้างผู้ดูแลระบบคนอื่น จากนั้นเราจะลดสิทธิ์ของผู้ใช้ปัจจุบันลง

อย่างไรก็ตามคุณสามารถเข้าถึงได้โดยเรียกใช้ระบบที่ โหมดปลอดภัย... อย่างไรก็ตาม หากคุณต้องการใช้ตัวเลือกการแชร์ขั้นสูง ให้เปิดเครื่องรูดเมนู Start จากบัญชีผู้ดูแลระบบ แล้วเลือก My Computer ผู้ใช้สามารถกำหนดสิทธิ์การเข้าถึงเอกสารหรือแค็ตตาล็อกได้อย่างแม่นยำ ข้อจำกัดมีมากกว่าสิทธิ์ ตัวอย่างเช่น หากคุณปฏิเสธการอ่านเอกสารสำหรับกลุ่มผู้ใช้ที่ Bart, Maggie และ Lisa ถูกผูกไว้โดยค่าเริ่มต้น และสร้างสิทธิ์การอ่านเฉพาะสำหรับหนึ่งในนั้น การเข้าถึงจะถูกปฏิเสธอยู่ดี

ในการดำเนินการนี้ ให้คลิกขวาที่รายการ "ผู้ใช้" -> เลือก " ผู้ใช้ใหม่… ”. ในหน้าต่างที่เปิดขึ้น ให้ระบุชื่อผู้ดูแลระบบใหม่ รหัสผ่านของเขา ทำเครื่องหมายในช่อง "รหัสผ่านไม่หมดอายุ" แล้วคลิกปุ่ม "สร้าง"

บัญชีที่สร้างโดยเราจะมีสิทธิ์ของผู้ใช้ทั่วไป หากต้องการให้สถานะเป็นผู้ดูแลระบบที่แท้จริง คุณต้องเพิ่มไปยังกลุ่มผู้ใช้ที่เหมาะสม ในการดำเนินการนี้ ให้ดับเบิลคลิกที่บัญชีใหม่ ไปที่แท็บ "การเป็นสมาชิกกลุ่ม" -> กดปุ่ม "เพิ่ม"

เธอต้องการให้แม็กกี้อ่านเอกสารนี้ Lisa คลิกขวาที่ไฟล์นี้และเลือก Properties จากเมนูป๊อปอัปที่ปรากฏในหน้าต่าง Properties และคลิกบนแท็บ Security Maggie หายไปจากรายชื่อกลุ่มและผู้ใช้ที่กำหนดสิทธิ์ ตอนนี้เธอเลือกชื่อแม็กกี้จากรายการ เขาเลือกกล่องกาเครื่องหมายอ่านในคอลัมน์อนุญาต ตอนนี้ Maggie ได้เข้าถึงไฟล์นี้จากเซสชันของเธอแล้ว แต่ไม่สามารถเปลี่ยนแปลงได้

ทางเลือก # 4: ติดตั้งแอปพลิเคชั่นที่ทุกคนสามารถใช้ได้ ตามค่าเริ่มต้น แอปพลิเคชันทั้งหมดที่ติดตั้งโดยผู้ดูแลระบบจะพร้อมใช้งานสำหรับผู้ใช้รายอื่น แต่เจ้าของบัญชีที่จำกัดจะไม่สามารถติดตั้งโปรแกรมใหม่ได้ ตัวอย่างเช่น คุณจะติดตั้งยูทิลิตี้การบีบอัดสำหรับเซสชันของคุณ

ในบล็อก "ป้อนชื่อวัตถุ" เขียน "ผู้ดูแลระบบ" และคลิกที่ปุ่ม "ตกลง" -> "นำไปใช้"

3. ตอนนี้ได้เวลาจัดการกับการปรับลดรุ่นผู้ใช้ปัจจุบัน ในการดำเนินการนี้ ให้เลือกผู้ใช้ปัจจุบันในรายการและดำเนินการตามที่อธิบายไว้ข้างต้นทั้งหมด เฉพาะตอนนี้เท่านั้นที่จำเป็นต้องเพิ่มบันทึก "ผู้ใช้" และลบบันทึก "ผู้ดูแลระบบ"

ทางเลือก # 5: ปรับแต่งแอปพลิเคชัน โดยปกติการตั้งค่าแอปพลิเคชันจะเชื่อมโยงกับผู้ใช้แต่ละราย ทุกคนสามารถมีบัญชีของตัวเองได้ อีเมล, ด้วยการตั้งค่าการเชื่อมต่อและ กล่องจดหมาย... เพียงพอที่จะติดตั้งโปรแกรมจากเซสชันของผู้ใช้แต่ละคน ทางเลือกที่ 6: จำกัดการเข้าถึงแอปพลิเคชัน

เพื่อจำกัดการเข้าถึงแอปพลิเคชัน เช่น ถึง ซอฟต์แวร์สำหรับการส่งข้อความโต้ตอบแบบทันที ให้แสดงหน้าต่างคุณสมบัติของโปรแกรมปฏิบัติการ เช่นเดียวกับเอกสารของคุณ คุณจะเลือกช่องทำเครื่องหมายอ่านและดำเนินการในแท็บความปลอดภัยถัดจากผู้ใช้ที่สนใจ คุณสามารถติดตั้งโปรแกรมทั้งหมดในไดเร็กทอรีที่คุณกำหนดสิทธิ์อย่างถี่ถ้วน คุณสามารถกำหนดกลุ่มใหม่โดยใช้เครื่องมือการจัดการคอมพิวเตอร์ที่มีอยู่ในแผงควบคุม

4. หลังจากเสร็จสิ้น ให้ออกจากระบบและรีสตาร์ทเครื่องคอมพิวเตอร์ของคุณ

ดังนั้น คุณได้บันทึกการตั้งค่าทั้งหมดของคุณ แต่ลดสถานะของผู้ใช้ลง โดยจำกัดสิทธิ์ของเขา ตอนนี้ เพื่อที่จะทำการเปลี่ยนแปลงใดๆ กับระบบ คุณจะต้องเข้าถึงบัญชีของผู้ดูแลระบบที่สร้างขึ้นใหม่

มันทำงานอย่างไร?

คุณทำงานในระบบตามปกติโดยเปิดโปรแกรมที่คุ้นเคย หากคุณต้องการเปลี่ยนแปลงไฟล์ระบบกะทันหัน ให้เข้าถึงรีจิสทรีหรือติดตั้ง โปรแกรมใหม่คุณสามารถทำได้สองวิธี: สิ้นสุดเซสชันปัจจุบันและเข้าสู่ระบบด้วยบัญชีผู้ดูแลระบบ ใช้ "อำนาจ" ของผู้ดูแลระบบโดยไม่ต้องออกจากบัญชีปัจจุบัน

เครื่องมือกลยุทธ์กลุ่มที่ซ่อนอยู่มีตัวเลือกเพิ่มเติมเพื่อจำกัดการเข้าถึงส่วนประกอบต่างๆ ของคอมพิวเตอร์ของคุณ ระวังเมื่อใช้. ตัวอย่างเช่น คุณสามารถกำหนดรายการแอปพลิเคชันที่ไม่ได้รับอนุญาตสำหรับผู้ใช้ทั้งหมด เพื่อให้คุณทำได้ ในแท็บ การตั้งค่า ให้เลือกช่องทำเครื่องหมาย เปิดใช้งาน คลิกปุ่ม แสดง แล้วคลิก เพิ่ม ขณะท่องอินเทอร์เน็ต ผู้คนจำนวนมากถูกคุกคามให้หายใจเข้าในบ้านของผู้ใช้ เนื่องจากช่องโหว่ด้านความปลอดภัยจำนวนมากในแอปพลิเคชันอินเทอร์เน็ต จึงเป็นไปได้ที่จะ "จับ" ฮิตทางอิเล็กทรอนิกส์ ตัวเรียกเลขหมาย ไวรัส สปายแวร์ แอดแวร์

ในการดำเนินการนี้ ให้คลิกขวาที่โปรแกรมที่กำลังเปิดตัวและเลือก "เรียกใช้เป็น ... " -> ในหน้าต่างที่ปรากฏขึ้น ระบุบัญชีผู้ดูแลระบบและป้อนรหัสผ่านผู้ดูแลระบบ -> คลิก "ตกลง" ดังนั้น คุณสามารถเรียกใช้แอปพลิเคชันใด ๆ ที่มีสิทธิ์ของผู้ดูแลระบบโดยไม่ต้องออกจากบัญชีปัจจุบันของคุณ

คำแนะนำ:

ความเสี่ยงนี้ประกอบกับข้อเท็จจริงที่ว่าผู้ใช้ตามบ้านส่วนใหญ่ใช้คอมพิวเตอร์ราคาแพง ในกรณีนี้ ตัวอย่างเช่น นี่จะเป็นการใช้บัญชีแบบจำกัดที่เข้มงวด อย่างไรก็ตาม ในสภาพแวดล้อมที่บ้าน บัญชีนี้มีข้อจำกัดอย่างมาก - แอปพลิเคชันจำนวนมากต้องการสิทธิ์ของผู้ดูแลระบบ แม้ว่าคุณจะใช้บัญชีปกติ แต่ก็ไม่สามารถเรียกใช้บางรายการได้ การตั้งค่าระบบหรือไม่ก็. โปรแกรมเมอร์บันได

อย่างไรก็ตาม เบราว์เซอร์หรือไคลเอนต์อีเมลดังกล่าวใช้งานไม่ได้มาก - ทำให้เปิดเว็บเบราว์เซอร์ภายใต้บัญชีผู้ใช้อื่นได้ยาก การคลิกลิงก์ในข้อความอีเมลหรือในแอปพลิเคชันทำให้เปิดเบราว์เซอร์ได้ยาก และผู้ใช้ มีแนวโน้มที่จะได้รับมัลแวร์บางชนิดก่อนที่จะยอมรับข้อจำกัดดังกล่าว

จริงจังกับการเลือกรหัสผ่านสำหรับผู้ดูแลระบบของคุณ ยิ่งรหัสผ่านซับซ้อนและยาวขึ้นเท่าใด ผู้โจมตีก็จะยิ่งถอดรหัสได้ยากขึ้นเท่านั้น
เนื่องจากคุณจะไม่ค่อยใช้บัญชีผู้ดูแลระบบใหม่ ให้จดรหัสผ่านที่คุณสร้างไว้ในที่ปลอดภัย
มาตรการรักษาความปลอดภัยเพิ่มเติมคือการเปลี่ยนชื่อผู้ดูแลระบบที่สร้างขึ้น (เช่น แทนที่จะเป็น "ผู้ดูแลระบบ" -> "Sergey) ดังนั้นการสร้างบาเรียเพิ่มเติมสำหรับผู้โจมตี