Většinou stačí mít ty uživatele v Power Users. Sice ti toho pak taky můžou hodně, ale systém je už lépe zabezpečen. A pak taky jde spoustu detailů doladit v Group Policy. Skutečně je to hodně práce vyladit uživatele, když nemají administrátorský práva... Čest práci a rukám klid! BY: Mr. Death > -----Original Message----- > From: Kristian Angyal [mailto:kristian@rebus.sk] > Sent: 14. prosince 2003 12:30 > > Nic proti, iba by ma zaujimalo, co bude branit hociktoremu z > uzivatelov nakliknut si adresar program files a spustit co sa > mu zapaci. Potahovanie ikoniek na desktopy jednotlivych > uzivatelov je bezzube riesenie. > Okrem toho softver by sa mal instalovat zasadne pod kontom > administrator alebo pod kontom s administratorskymi pravami. > Tak ci tak si 95 percent aplikacii nainstaluje odkazy do > start menu ALL USERS, tzn.ze aj keby si spravil tisíc uctov > kazdy z nich ten softver uvidi, tj kazdy to bude mat v start menu. > Navyse ak uzivatelia nebudu v skupine administrators, moze sa > stat, ze po nakopirovani ikony na desktop alebo hocikam do > profilu jedneho z tych dvoch uzivatelov sa ten uz viac > neprihlasi. A preco? > > Som v adminovi, chytim ikonu, nakopirujem to do adresara > desktop jedneho z uzivatelov. Komu patri ikona (NTFS Security > - vlastnictvo)? Predsa mne, administratorovi. > Navyse, ak nema uzivatel administratorske prava, ani nemoze > na tu ikonu pristupovat . Lanze uzivatel musi mat plny > pristup na obsah svoho uzivatelskeho profilu pod ktory patri > aj adresar Desktop a musi byt aj vlastnikom celeho profilu., > akonahle sa vsak v profile vyskutuje problematicky subor , > pocas pokusu o prihlasenie windows vypise chybu pristupu a > odmietne prihlasit. > > Riesenie je nasledovne. Je potrebne precizne rozumiet > pristupovym pravam NTFS. Ak v tom nie si zbehly, ale naozaj > zbehly je nutne to dat urobit niekomu kto to chape do detailov. > > Nasledne postupovat takto. > > Programy pristupne pre obidvoch sa ponechaju. > Ostatne aplikacie bude treba nastavit pristupove prava. > Napr. Mam program photoshop.exe > > Nastavim pristupove prava (lista zabezpecenie - security )tak > ze uzivatel 2 bude mat explicitny zakaz pristupu. > Na iny program azase nastavi opacne, vzdy na samotnom exe subore. > Este vsak je nutne zabezpecit aby tieto nastavene pristupove > prava uzivatelia nemohli svojvolne menit. Asak dost vela > aplikacii ku korektnemu behu vyzaduje, aby boli spustene s > "administrative credentials". Hlavne hry a rozne programy za > 100 tisic a viac ceskych alebo slovenkych korun. Potom vsak > ti uzivatelia budu musiet mat administratorske prava. Potom > vsak budu moct zmenit pristupove prava. A sme v kruhu. > Samozrejme, aj toto je mozne osetrit. Znalost riesenia tohoto > problemu je skutocnym testom ci dotycny ovlada NTFS security > a pracu s ACLs.
This archive was generated by hypermail 2.1.3 : 14. 12. 2003, 12:38 CET