Урезать права менеджерам win server 2003|win xp

Тема в разделе "Windows", создана пользователем Genk0, 16 мар 2013.

Модераторы: ADMiNZ
  1. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.627
    Симпатии:
    1.329
    Есть win server 2003 c 1Cкой.
    Есть 7 пользовательских машин на win XP
    Все манагеры сидят через терминальный доступ RDP к серверу для работы с 1С, почтой ну и по мелочи.
    Требуется урезать права на пользовательских машинах, чтобы не качали всякие торренты, не играли в сапера ну и т.п.
    Я понимаю что легче безвинтовые машины поставить и грузиться сразу на сервер, но не вариант.

    На сервере урезать доступ к жесткому диску, оставить папку с которой он может работать (у каждого своя).
    БД 1Ски файловая, посему порезать доступ к дискам, чтобы не лазили где не надо (я понимаю что до БД доберутся, но все же как то ограничить).

    Также ограничить возможность установки любого софта (под гостем некоторый софт ставится без проблем, поэтому надо как то избежать этого), драйверов (на 3G модемы и прочее) и т.д.)

    Грубо говоря: манагеры все уроды, лезут куда не надо, но уволить их не вариант)
     
    doxx нравится это.
  2. efs

    efs SEO оптимизатор дискрипторов одностраничных сайтов

    Moderator
    Регистр.:
    20 ноя 2009
    Сообщения:
    824
    Симпатии:
    475
    win+R->secpol.msc->Политики ограниченного использования программ->Уровни безопасности->Запрещено - теперь будет действовать правило, запрещено все, что не было явно разрешено.
    Далее в "Дополнительные правила" указываются все приложения, которые пользователи смогут запускать. По умолчанию там указаны системная директория, тоесть сама винда и папка program files. Добавляешь правила для приложений, которые находятся вне этих каталогов (нюанс, если софт находится скажем на диске D, а запускают его с ярлыка с рабочего стола, то нужно добавлять разрешающее правило как для каталога с программой, так и для ярлыка на рабочем столе)
    после того как все почикаешь, сотри вообще файл secpol.msc, носи его на флешке, понадобится что-то изменить, скинешь в системную директорию, поправишь и снова удаляй.

    чтобы не играли в системные игрушки или удаляешь их через "установка/удаление программ->компоненты windos" или прямо указываешь запрет на запуск этих приложений в политиках безопасности.

    для флешек, дисков и прочей съемной фигни, опять же в политиках безопасности, указываешь запрет на корень этого диска. т.е. F: - запрещено, G: - запрещено и т.д.. таким образом они никакую гадость не приволокут на своих носителях, даже если она портабле.
     
    Alex Kross и Genk0 нравится это.
  3. obli

    obli Создатель

    Регистр.:
    1 май 2013
    Сообщения:
    45
    Симпатии:
    2
    Ну можно попробовать поместить тех кого хочеш ограничить в группу guest или убрать их из группы users , а потом сделать ярлычки с runas которые им будут доступны и прописать там программулки доступные для них, но это так один из пособов чере политики как описал тов. efs имхо правильней.