Ограничение прав Администраторов

DANT

Member
Joined
Oct 28, 2004
Messages
21
Reaction score
1
Location
Россия
Ограничение прав Администраторов (Win2000/2003/XP)

Каким образом запретить пользователю, входящему в группу "Администраторы", изменение паролей других аккаунтов.

Подразумевается, что:
1. Данного юзера нельзя лишать админовских прав.
2. Параметры собствееного аккаунта юзер изменять может.
 
Last edited by a moderator:

SimplyLex

Member
Joined
Apr 27, 2004
Messages
14
Reaction score
1
Age
45
Я так думаю полностью это сделать нельзя. Можно только уповать на то что у юхера не хватит терпения ковыряться и он плюнет на все.
Сделать можно следующее:
1) В систем32 найти файлик lusrmgr.msc и сделать там для групы администрторы только чтение. И еще добавить юзера и на эту папку поставить полный доступ.
2) Тоже самое сделать для nusrmgr.cpl.

Вроде должно работать, так как ты хочешь. По крайней мере я только что попробовал в ХР СЕ. Все пашет.

Если у тебя не получиться можно попробовать поиграться правами владельца, только в локальных политиках тогда не забуть оключить "Овладевание объектами" для Администраторов.
 

DANT

Member
Joined
Oct 28, 2004
Messages
21
Reaction score
1
Location
Россия
Гм. Разве тогда пункт 2 (из условий) выполняется?
Если бы всё было так просто - я бы не спрашивал.
Вообще же была мысль поправить политики безопасности таким образом, чтобы дать право на овладение объектами только конкретным юзерам, а не всем кто в админах. Плюс ограничить доступ к самим этим политикам (как ты и предложил - путем ограничения прав на соотвествующий файл консоли).
 

SimplyLex

Member
Joined
Apr 27, 2004
Messages
14
Reaction score
1
Age
45
Да вроде выполняется. На крайняк я думаю можно попробовать cpl'ку вообще стереть или сренеймить

[ADDED=SimplyLex]1099128717[/ADDED]
В любом случае, я думаю, придется это все делать на уровне владельцев.
Только нафига нужен пользователь с правами админа, который не может сменить пароль. Мне просто интересно.
Имх, проще сделать пользователя или группу и в политиках прописать все что можно и что нельзя. Правда геморно это, но... будет гораздо эффективнее.
Недавно на работе такое делал. Сделал группу work_stuff, в группе сделал пользователя worker. Дал ему права ребутить машину, запускать драйвера и т.д. Потом перековырял полреестра и весь "Program files" для установки прав и в результате получил польователя который может делать свою работу, но не может играть в игры и заниматься прочей ненужной на работе ерундой. Хотя у меня все проще. У меня народ такой. Думают что они супер-пупер в компах, ну а я их не расстраиваю особенно. )))
 
Last edited by a moderator:

MrSender

Member
Joined
Oct 27, 2004
Messages
59
Reaction score
1
Age
62
Location
Москва
Вывести пользователя из группы админов и создать группу "Супер-пупер" (Согласен с SimplyLex), которой дать нужные права.
 

DANT

Member
Joined
Oct 28, 2004
Messages
21
Reaction score
1
Location
Россия
Дык. Эта вся фигня нужа только затем, чтобы админить комп юзера в случае нужды. А в остальном - все права ему сохраняются. (Как ты правильно заметил - им хлебом не корми - дай только в компе поковыряться...)
А если выводить в отдельную группу тут не возникнет проблем? Ведь не все права возможно передать (так?). (у меня на компах только локальные политики)
А некоторый софт в упор отказывается ставиться при отсутсвии у юзера админовских прав.
(а это необходимо, т.к. юзер работает полностью самостоятельно, и каждый раз бегать устанавливать им софт я не намерен...)
 
Last edited by a moderator:

DANT

Member
Joined
Oct 28, 2004
Messages
21
Reaction score
1
Location
Россия
Того, что предусматривает локальная политика безопасности - маловато.
Даже если занести новую группу везде, где пристсвует группа админов - всё равно эквивалента не получится!
 

SimplyLex

Member
Joined
Apr 27, 2004
Messages
14
Reaction score
1
Age
45
м-м-м-м-м
А кстати для установки игр вполне достаточно открыть пользователю на запись реестр.
Но я думаю, что открытие реестра на запись, в лок. политиках разрешение загрузки драйверов и перезагрузки вполне достаточно. Хотя...
Просто мне кажется тебе надо поковыряться самому и определить, что тебе нужно, чтобы пользователь мог делать. Открой ему для начала реестр, посмотри что не пройдет из того что тебе надо. Попробуй ступенчато решать задачу. Просто тебе имх никто не посоветуем на 100% что делать, потому как все-таки каждый сталкивается с чем-о своим.
Это мое имхо.
Если что задавай вопросы, не стесняйся. По мере знаний ответим. Самое главное не бойся почувствовать себя чайником. Все когда-то такими были, все через это проходили. Я сам вон в вс форум на мисте.ру вопросами замучал, потому как в 1С рублю на начальном уровне. Народ помог, почти во всем разобрался. )))) Сорри за оффт
 

DANT

Member
Joined
Oct 28, 2004
Messages
21
Reaction score
1
Location
Россия
Попробовал я по схеме изменения прав для админов: (и опытным путем выяснилось)
1. Ставя только чтение для админов на lusrmgr.msc ты никоим образом не влияешь на их способность, используя эту надстройку, изменять аккаунты юзеров. Т.е. имеет смысл только закрывать доступ вообще.
2. Файл nusrmgr.cpl я вообще не обнаружил. (У меня Win2003Server)
Исходя из названия предположу, что он как раз отвечать должен за редактирование инфы аккаунта. Так?

p.s.
Сейчас смотрю литературу, что выложена на тут на форумском фтп. На аглицком конечно, но вроде бы есть то, что нужно.
 

Past_Or

Member
Joined
Sep 30, 2004
Messages
11
Reaction score
0
Age
44
при помощи ммс запускаешь group policy object editor выбираешь машину или организационную еденицу (все по сети конечно) и в перед!!! В настройках юзера >administrativ templates>windows components>microsoft management console>restrictet/permited snapins... Дальше понятно: local user $ groups и group policy object editor тоже гдето там....
Результат пользователь не может запустить ни lusrmgr.msc ни gpedit.msc!!!

Но!!!
А теперь спрошу я! Как запретьть пользователю ввести такую вот команду:
CONTROL USERPASSWORDS2
 
X

Xtremist

CONTROL USERPASSWORDS эт конечно проблема, но можно попробавать найти в системе соответствующую dll-ку и запретить к ней доступ тому юзеру
 

Korovka

Member
Joined
May 17, 2004
Messages
78
Reaction score
2
Age
50
Location
Питер
administrativ templates>windows components>microsoft management console>restrictet/permited snapins..
Результат пользователь не может запустить ни lusrmgr.msc ни gpedit.msc!!!
Если пользователь - админ, он легко уберет эти полиси прямо из своего реестра
попробавать найти в системе соответствующую dll-ку и запретить к ней доступ
а он обратно себе разрешит - он же админ

IMHO, права администратора нельзя ограничить принципиально - все ограничения он сможет убрать, поскольку администратор по определению должен иметь возможность делать все. SID группы Администраторы зашит в код Windows во многих местах, и некоторых прав, например, назначать права пользователей, создавать сервисы, лишить их вообще невозможно. Единственное, можно немного затруднить чайнику ломать систему вышеописанными средствами.
 

Past_Or

Member
Joined
Sep 30, 2004
Messages
11
Reaction score
0
Age
44
Если пользователь - админ, он легко уберет эти полиси прямо из своего реестра
пользование реестром тоже запрещается при помощи политики групп (или самим реестром :))
попробавать найти в системе соответствующую dll-ку и запретить к ней доступ
это тема но она может отвечать за другую лабуду. Вот еслибы запритить rundll32.exe c именно теми ключами тогда тему можно было бы считать закрытой.
 

Korovka

Member
Joined
May 17, 2004
Messages
78
Reaction score
2
Age
50
Location
Питер
Past_Or said:
пользование реестром тоже запрещается при помощи политики групп (или самим реестром :))
Круто сказано - пользование реестром! эта полиси запрещает всего лишь запуск regedit и легко обходится заменой одного байта в regedit.exe.
 

Past_Or

Member
Joined
Sep 30, 2004
Messages
11
Reaction score
0
Age
44
Круто сказано - пользование реестром! эта полиси запрещает всего лишь запуск regedit и легко обходится заменой одного байта в regedit.exe.
А отсюда по подробней пжлст, это интересно???
 

Korovka

Member
Joined
May 17, 2004
Messages
78
Reaction score
2
Age
50
Location
Питер
Находишь в regedit.exe юникодовую строку DisableRegistryTools и меняешь в ней любую букву. Может быть, понадобится еще chksum обнулить - я только в 2k делал такое. Другие редакторы реестра эту полисю вообще непроверяют.
 

rodalex

Member
Joined
Aug 2, 2004
Messages
68
Reaction score
4
Age
47
Location
Юбилейный МО
Панель управления -> Администрирование -> Локальная политика безопасности
Там много всевозможных настроек. Необходимо обратить внимание на те политики, в которых стоит группа администраторов, но нет групп пользователей (провинутых тоже). Таким образом, можно добавить какому-либо пользователю прав, не вводя его в группу администраторов.
ЗЫ Глобальная политика, определенная на уровне домена перекрывает локальные политики, и соответствующие настройки надо производить в глобальной политике безопасности на контроллере домена
 
Top