Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 14.07.2005, 13:39   [включить плавающее окно]   #1
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
ограничение прав пользователя

как юзверю из группы "пользователи" запретить доступ к "свойставам обозревателя" ?

win2000 sp4
NTFS
__________________
то что один человек сделал, другой завсегда поломать сможет

Последний раз редактировалось maxitol; 14.07.2005 в 13:43.
maxitol вне форума  
Ответить с цитированием
Непрочитано 14.07.2005, 14:11   [включить плавающее окно]   #2
KpeHgeJIb
Мужской Заслуженный
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Start> Run... и там пиши "gpedit.msc"
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.07.2005, 15:25   [включить плавающее окно]   #3
venpavel
Мужской Недосягаемый
 
Регистрация: 28.05.2004
конфигурация пользователя -Администрат. шаблоны - компоненты виндоуз - интернет экплорер
venpavel вне форума  
Ответить с цитированием
Непрочитано 14.07.2005, 15:29   [включить плавающее окно]   #4
TEA
Мужской Заслуженный
 
Аватар для TEA
 
Регистрация: 21.01.2004
Адрес: г. Сергиев-Посад
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
"NoBrowserOptions"=dword:00000001
__________________
В этой жизни меня подводят доброта и порядочность.
© #####
TEA вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 14.07.2005, 16:56   [включить плавающее окно]   #5
KpeHgeJIb
Мужской Заслуженный
 
Аватар для KpeHgeJIb
 
Регистрация: 10.02.2003
Адрес: Израиль
Ну уже все разжевали, молодци, да и только.
KpeHgeJIb вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 15.07.2005, 09:50   [включить плавающее окно]   #6
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
спасиба большое
__________________
то что один человек сделал, другой завсегда поломать сможет
maxitol вне форума  
Ответить с цитированием
Непрочитано 01.08.2005, 10:03   [включить плавающее окно]   #7
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
вобщем наограничивал я прав по самые нихочу, так что пользователь вообще почти ничего делать не могет, прям аж душа радуется , но есть проблема: данные ограничения относятся ко всем без ислючения пользоавтелям, в т.ч. и к админам, а как теперь сделать чтобы только пользователь с определенной учеткой, или хотябы все кроме админов подвергались этим ограничениям ? .. плиз хелп
__________________
то что один человек сделал, другой завсегда поломать сможет
maxitol вне форума  
Ответить с цитированием
Непрочитано 01.08.2005, 12:02   [включить плавающее окно]   #8
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва
На локали только стартовым скриптом, который у админа будет из реестра все полиси выносить и эксплорера рестартовать.
дело в том что групповая политика действует внутри объекта групповой политики, а он на локальной машине один и тот же для ВСЕХ локальных пользователей. Поэтому все политики навешиваются на всех пользователей. Так как админ имеет право на запись в ветки реестра с политиками, то вывод очевиден - надо админу эти политики выносить при старте.
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.08.2005, 14:25   [включить плавающее окно]   #9
venpavel
Мужской Недосягаемый
 
Регистрация: 28.05.2004
Цитата (Круглый) »
На локали
а может он не локальную политику правит7???

тогда просто надо снести дефолтную политику, и разбить по разным OU пользователей, затем к каждому OU применять свою политику....или я не прав??
venpavel вне форума  
Ответить с цитированием
Непрочитано 01.08.2005, 14:59   [включить плавающее окно]   #10
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва
Цитата
а может он не локальную политику правит7???
Возможно, но судя по симптому и изначальному вопросу он все же локальную политику правит.
В общем если это вдруг АД, то делать надо как venpavel велит, за исключением того, что дефолтовую политику не обязательно выносить, ибо ее перекроет полиси из ОУ
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.08.2005, 15:13   [включить плавающее окно]   #11
venpavel
Мужской Недосягаемый
 
Регистрация: 28.05.2004
Цитата (Круглый) »
ибо ее перекроет полиси из ОУ
кхм кхм....возможно я и не прав....но НЕТ! если что то определено в дефолтной политике, то его ничего не перекроет - проверено...
venpavel вне форума  
Ответить с цитированием
Непрочитано 01.08.2005, 15:56   [включить плавающее окно]   #12
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва
Буду краток, venpavel, ты не прав


Цитата
Because nonlocal GPOs are applied hierarchically, the user or computer’s configuration
is a result of GPOs applied to its site, domain, and OU. Group Policy settings are applied in the following order:
1. Local GPO. Each computer running Windows Server 2003 has exactly one GPO stored locally.
2. Site GPOs. Any GPOs that have been linked to the site are applied next. GPO application is synchronous; the administrator specifies the order of GPOs linked to a site.
3. Domain GPOs. Multiple domain-linked GPOs are applied synchronously; the administrator specifies the order of GPOs linked to a domain.
4. OU GPOs. GPOs linked to the OU highest in the Active Directory hierarchy are applied first, followed by GPOs linked to its child OU, and so on. Finally, the GPOs linked to the OU that contains the user or computer are applied. At the level of each OU in the Active Directory hierarchy, one, many, or no GPOs can be linked. If several group policies are linked to an OU, then they are applied synchronously
in an order specified by the administrator.
PUBLISHED BY
Microsoft Press
A Division of Microsoft Corporation
One Microsoft Way
Redmond, Washington 98052-6399

MCSE Self-Paced Training Kit (Exam 70-294); Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure / Jill Spealman, Kurt Hudson, and Melissa Craft.

Page. 582

Возможно ты говоришь про Объект групповой политики Default Domain Policy?
В общем тема применяемости ГП RTFM-ная, и применительно к данной ветке еще к то-му же и оффтопная. Если интересно заведи темку - подискутируем на тему how to GP is applied
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 01.08.2005, 20:32   [включить плавающее окно]   #13
venpavel
Мужской Недосягаемый
 
Регистрация: 28.05.2004
Круглый убил насмерть! да просто я вот хотел как то сделать чтоб пароль был короткий, применял политики разные, а не получалось, в конце концов изменил все это в
Цитата (Круглый) »
Default Domain Policy
и все запахало...
venpavel вне форума  
Ответить с цитированием
Непрочитано 01.08.2005, 22:32   [включить плавающее окно]   #14
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва

Наступаем на стандартные грабли. Данная тема документированна, но, к сожалению, не совсем прозрачна для понимания. Политика пассвордов может быть только одна на домен. Чтобы навесить дополнительные полиси на пассворды - надо разворачивать дополнительный домен.
http://support.microsoft.com/default...b;en-us;255550
Но к иерархии применения GPO это не имеет отношения.
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.08.2005, 04:48   [включить плавающее окно]   #15
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
вобщем правил я все в gpedit.msc на самом компе как мне и советовали KpeHgeJIb и venpavel -- это локальная политика или дефолтная, и чем они отличаются ?
venpavel
Цитата
тогда просто надо снести дефолтную политику, и разбить по разным OU пользователей, затем к каждому OU применять свою политику....или я не прав??
а как разбивать по пользователям ? поподробней если можно
Круглый
Цитата
На локали только стартовым скриптом, который у админа будет из реестра все полиси выносить и эксплорера рестартовать.
ну я тут задачу несколько расширил и мне теперь не только эксплорер ограничить в настройках надо, я последовательнол прошелся по всем пунктам в gpedit и еще кучу ограничений навводил, так вот вопрос : эти изменения в реестре после захода под другим пользователем gpedit заново восстанавливает ?

сейчас внимательнее глянул, это я в локальной политике все правил, там др. вариантов не было
__________________
то что один человек сделал, другой завсегда поломать сможет

Последний раз редактировалось maxitol; 02.08.2005 в 04:58.
maxitol вне форума  
Ответить с цитированием
Непрочитано 02.08.2005, 06:04   [включить плавающее окно]   #16
venpavel
Мужской Недосягаемый
 
Регистрация: 28.05.2004
Цитата (maxitol) »
а как разбивать по пользователям ? поподробней если можно
тады мой вариант не подходит - юзай вариант Круглыйго

Круглый респект за инфу...
venpavel вне форума  
Ответить с цитированием
Непрочитано 02.08.2005, 09:34   [включить плавающее окно]   #17
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва
maxitol
Цитата
это локальная политика или дефолтная
Это политика локальная, весь оффтоп про Default Domain Policy перед этим был про домен Active Directory, которого у тебя просто нет и он тебе нафиг не нужен.

Выдрано из справки Windows

Цитата
Хранилище объектов групповой политики
На каждом компьютере, работающем под управлением Windows ХР, имеется только один локальный объект групповой политики. Он хранится в каталоге %systemroot%\System32\GroupPolicy.

Другие объекты групповой политики состоят из двух частей, хранящихся отдельно: контейнера групповой политики и шаблона групповой политики. Часто изменяющиеся или значительные по объему данные хранятся в в контейнере групповой политики, а небольшие и редко меняющиеся данные хранятся в шаблоне. Интерфейс групповой политики отображает эти части как единое целое.
От себя.
1. Ты настроил какие-то ограничения на систему.
2. Они все сохранились в %systemroot%\System32\GroupPolicy
3. При старте системы применяются политики из контейнера mashine - записываются в ветку реестра HKLM
(Подробно
HKEY_LOCAL_MACHINE\SOFTWARE\Policies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies)
4. При логине пользователя применяются политики из контейнера user - записываются в HKCU
(Подробно
HKEY_CURRENT_USER\Software\Policies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
и еще страшные ключи HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}Machine
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}User на машинах XP со вторым SP)
5. Обычный пользователь не имеет возможности по умолчанию на запись в ветки реестра с политиками.
6. Админ имеет право писать в эти ветки
7. Создаешь стартовый скрипт для админа, который будет нужные тебе политики из реестра удалять и перезапускать EXPLORER (проводник по-русски), а не INTERNET EXPLORER
(
@echo
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutorun /f
reg delete HKLM - bla - bla -bla
taskill /IM explorer /F
explorer.exe
)
Собственно говоря все.
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.08.2005, 11:29   [включить плавающее окно]   #18
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
Круглый
спасибо за разъяснения
Цитата (Круглый) »
@echo
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoDriveTypeAutorun /f
reg delete HKLM - bla - bla -bla
taskill /IM explorer /F
explorer.exe
прости за ламерский вопрос, но мне раньше стартовых скриптов создавать не приходилось, эти строчки можно просто в BAT-ник и в автозагрузку вставить, или как это делается ?
если это долго объяснять хотябы ссылочкой на эту тему кинь, я почитаю разбирусь (только на русском плиз)
заранее спасибо
__________________
то что один человек сделал, другой завсегда поломать сможет
maxitol вне форума  
Ответить с цитированием
Непрочитано 02.08.2005, 16:25   [включить плавающее окно]   #19
Круглый
Мужской Опытный
 
Аватар для Круглый
 
Регистрация: 24.10.2003
Адрес: Москва
ну

c:\> reg /? - это инфа по утилите reg вообще
c:\>reg delete /? - это инфа по удалению ключей из реестра в частности


Какая политика, куда себя в реестр прописывает можно узнать с помощью бесплатной утилиты regmon http://www.sysinternals.com/Utilities/Regmon.html
под стартовым скриптом я подразумевал именно батник (текстовый файл с расширением .bat или .cmd)
пакетник можешь пихать как в автозагрузку, так и указать его явно в свойствах учетной записи (есть там поле для этого)
__________________
Если судьба повернулась к тебе спиной, просто подожди, пока она нагнется...
Круглый вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 03.08.2005, 02:58   [включить плавающее окно]   #20
maxitol
Общительный
Автор темы
 
Аватар для maxitol
 
Регистрация: 19.04.2004
Адрес: Vladivostok
спасибо огромное
__________________
то что один человек сделал, другой завсегда поломать сможет
maxitol вне форума  
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 14:33. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey