Ограничение прав Администраторов

[DANT]

Ограничение прав Администраторов (Win2000/2003/XP)

Каким образом запретить пользователю, входящему в группу "Администраторы", изменение паролей других аккаунтов.

Подразумевается, что:
1. Данного юзера нельзя лишать админовских прав.
2. Параметры собствееного аккаунта юзер изменять может.

 

[SimplyLex]

Я так думаю полностью это сделать нельзя. Можно только уповать на то что у юхера не хватит терпения ковыряться и он плюнет на все.
Сделать можно следующее:
1) В систем32 найти файлик lusrmgr.msc и сделать там для групы администрторы только чтение. И еще добавить юзера и на эту папку поставить полный доступ.
2) Тоже самое сделать для nusrmgr.cpl.

Вроде должно работать, так как ты хочешь. По крайней мере я только что попробовал в ХР СЕ. Все пашет.

Если у тебя не получиться можно попробовать поиграться правами владельца, только в локальных политиках тогда не забуть оключить "Овладевание объектами" для Администраторов.

 

[DANT]

Гм. Разве тогда пункт 2 (из условий) выполняется?
Если бы всё было так просто - я бы не спрашивал.
Вообще же была мысль поправить политики безопасности таким образом, чтобы дать право на овладение объектами только конкретным юзерам, а не всем кто в админах. Плюс ограничить доступ к самим этим политикам (как ты и предложил - путем ограничения прав на соотвествующий файл консоли).

 

[SimplyLex]

Да вроде выполняется. На крайняк я думаю можно попробовать cpl'ку вообще стереть или сренеймить

[ADDED=SimplyLex]1099128717[/ADDED]
В любом случае, я думаю, придется это все делать на уровне владельцев.
Только нафига нужен пользователь с правами админа, который не может сменить пароль. Мне просто интересно.
Имх, проще сделать пользователя или группу и в политиках прописать все что можно и что нельзя. Правда геморно это, но... будет гораздо эффективнее.
Недавно на работе такое делал. Сделал группу work_stuff, в группе сделал пользователя worker. Дал ему права ребутить машину, запускать драйвера и т.д. Потом перековырял полреестра и весь "Program files" для установки прав и в результате получил польователя который может делать свою работу, но не может играть в игры и заниматься прочей ненужной на работе ерундой. Хотя у меня все проще. У меня народ такой. Думают что они супер-пупер в компах, ну а я их не расстраиваю особенно. )))

 

[MrSender]

Вывести пользователя из группы админов и создать группу "Супер-пупер" (Согласен с SimplyLex), которой дать нужные права.

 

[DANT]

Дык. Эта вся фигня нужа только затем, чтобы админить комп юзера в случае нужды. А в остальном - все права ему сохраняются. (Как ты правильно заметил - им хлебом не корми - дай только в компе поковыряться...)
А если выводить в отдельную группу тут не возникнет проблем? Ведь не все права возможно передать (так?). (у меня на компах только локальные политики)
А некоторый софт в упор отказывается ставиться при отсутсвии у юзера админовских прав.
(а это необходимо, т.к. юзер работает полностью самостоятельно, и каждый раз бегать устанавливать им софт я не намерен...)

 

[DANT]

Того, что предусматривает локальная политика безопасности - маловато.
Даже если занести новую группу везде, где пристсвует группа админов - всё равно эквивалента не получится!

 

[SimplyLex]

м-м-м-м-м
А кстати для установки игр вполне достаточно открыть пользователю на запись реестр.
Но я думаю, что открытие реестра на запись, в лок. политиках разрешение загрузки драйверов и перезагрузки вполне достаточно. Хотя...
Просто мне кажется тебе надо поковыряться самому и определить, что тебе нужно, чтобы пользователь мог делать. Открой ему для начала реестр, посмотри что не пройдет из того что тебе надо. Попробуй ступенчато решать задачу. Просто тебе имх никто не посоветуем на 100% что делать, потому как все-таки каждый сталкивается с чем-о своим.
Это мое имхо.
Если что задавай вопросы, не стесняйся. По мере знаний ответим. Самое главное не бойся почувствовать себя чайником. Все когда-то такими были, все через это проходили. Я сам вон в вс форум на мисте.ру вопросами замучал, потому как в 1С рублю на начальном уровне. Народ помог, почти во всем разобрался. )))) Сорри за оффт

 

[DANT]

Попробовал я по схеме изменения прав для админов: (и опытным путем выяснилось)
1. Ставя только чтение для админов на lusrmgr.msc ты никоим образом не влияешь на их способность, используя эту надстройку, изменять аккаунты юзеров. Т.е. имеет смысл только закрывать доступ вообще.
2. Файл nusrmgr.cpl я вообще не обнаружил. (У меня Win2003Server)
Исходя из названия предположу, что он как раз отвечать должен за редактирование инфы аккаунта. Так?

p.s.
Сейчас смотрю литературу, что выложена на тут на форумском фтп. На аглицком конечно, но вроде бы есть то, что нужно.

 

[Past_Or]

при помощи ммс запускаешь group policy object editor выбираешь машину или организационную еденицу (все по сети конечно) и в перед!!! В настройках юзера >administrativ templates>windows components>microsoft management console>restrictet/permited snapins... Дальше понятно: local user $ groups и group policy object editor тоже гдето там....
Результат пользователь не может запустить ни lusrmgr.msc ни gpedit.msc!!!

Но!!!
А теперь спрошу я! Как запретьть пользователю ввести такую вот команду:
CONTROL USERPASSWORDS2

 

[Xtremist]

CONTROL USERPASSWORDS эт конечно проблема, но можно попробавать найти в системе соответствующую dll-ку и запретить к ней доступ тому юзеру

 

[Korovka]

administrativ templates>windows components>microsoft management console>restrictet/permited snapins..
Результат пользователь не может запустить ни lusrmgr.msc ни gpedit.msc!!!

Если пользователь - админ, он легко уберет эти полиси прямо из своего реестра

попробавать найти в системе соответствующую dll-ку и запретить к ней доступ

а он обратно себе разрешит - он же админ

IMHO, права администратора нельзя ограничить принципиально - все ограничения он сможет убрать, поскольку администратор по определению должен иметь возможность делать все. SID группы Администраторы зашит в код Windows во многих местах, и некоторых прав, например, назначать права пользователей, создавать сервисы, лишить их вообще невозможно. Единственное, можно немного затруднить чайнику ломать систему вышеописанными средствами.

 

[Past_Or]

Если пользователь - админ, он легко уберет эти полиси прямо из своего реестра

пользование реестром тоже запрещается при помощи политики групп (или самим реестром )

попробавать найти в системе соответствующую dll-ку и запретить к ней доступ

это тема но она может отвечать за другую лабуду. Вот еслибы запритить rundll32.exe c именно теми ключами тогда тему можно было бы считать закрытой.

 

[Korovka]

пользование реестром тоже запрещается при помощи политики групп (или самим реестром )

Круто сказано - пользование реестром! эта полиси запрещает всего лишь запуск regedit и легко обходится заменой одного байта в regedit.exe.

 

[Past_Or]

Круто сказано - пользование реестром! эта полиси запрещает всего лишь запуск regedit и легко обходится заменой одного байта в regedit.exe.

А отсюда по подробней пжлст, это интересно???

 

[Korovka]

Находишь в regedit.exe юникодовую строку DisableRegistryTools и меняешь в ней любую букву. Может быть, понадобится еще chksum обнулить - я только в 2k делал такое. Другие редакторы реестра эту полисю вообще непроверяют.

 

[rodalex]

Панель управления -> Администрирование -> Локальная политика безопасности
Там много всевозможных настроек. Необходимо обратить внимание на те политики, в которых стоит группа администраторов, но нет групп пользователей (провинутых тоже). Таким образом, можно добавить какому-либо пользователю прав, не вводя его в группу администраторов.
ЗЫ Глобальная политика, определенная на уровне домена перекрывает локальные политики, и соответствующие настройки надо производить в глобальной политике безопасности на контроллере домена