Проблем я security preferences

[DLT]

Накратко захванах се да си играя с един Windows 2003 Server. Искам да му създам потребител който да е с ограничени права. Не съм сигурен как точно става. Създадох нова група създадох и нов потребител. Създадох директория в която смятам само той да се вихри. Забраних му достъпа до всичко на харда с изключение на неговата си директория. Копирах му профила и му разреших да има достъп до сървърният си профил в documents and settings. Но като се логне и системата го го изхвърля. Не ми е ясно защо се получава така. Предполагам, че е защото няма достъп до самият Windows, но на мен това ми изглежда съвсем нормално. Ако му дам достъп до windows-ката дирактория все едно да го пусна с Administrators-ки права. Помагайте, че съм Лаик малко по тия въпроси.

[Zombie_3]

Интересно . Последният път когато направих това, преди 5 години, ме уволниха от работа, защото се наложи да се форматира хард-а. За разлика от теб, аз зададох права на един юзер над целия хард, и естествено след рестарт Прозорци не тръгна. Не успях и да копирам инфо-то от друг комп, защото папките бяха забранени. След това разбрах, че никога не трябва да махаш "SYSTEM и Administrators". По принцип ако юзера е с ограничени права, няма да може да влиза в "Windows, Program Files, Documents and settings и Recycle" Ако не искаш да влиза в определена директория, просто го забрани с "Deny" от настройките, без да триеш юзъри(много е важно). Доколкото си спомням 2003 имаше и юзер "Everyone", който е задължителен, за да работи системата. Това не трябва да те плаши, защото "Access List" -а, ще забрани юзера когато срещне "Deny". Не знам в какъв ред работи "Access List" -a, на Прозорци, но е без значение за крайния ефект. Аз така и не успях да направя това което искаш на Windows-и под Vista и 7, обаче при Linux, си е заложено в ядрото, още по времето на създаването му. Пробвай с "Deny" и кажи дали става. Много ми е Интересно!, не съм пробвал.

[DLT]

Ами, значи аз Administrators и SYSTEM не съм ги пипал те си имат достъп навсякъде. Everyone съм го разкарал от където трябва. Тук по-скоро въпроса е как да му настроя достъпа до Windows директорията. Ако не му дам достъп май не иска да се логне - или по-точно влиза за секунда и после пак се логва аут. Ако му дам достъп как да опазя сустемата. Той маже да си докопа различни файлове и да направи големи бели. АА и още нещо Restricted Users аз съм го дефинирал не е по подразбиране защото не намерих такава група - знам, че при XP има.

[shanto]

Мога ли да попитам каква е целта на задачата - създаване на user-ски акаунт със супер рестрикции?
Ако е това - използвай софтуер за ограничаване на определен акаунт.Има много такъв.

[XIIID]

Направи групата да има достъп "read only" до \windows и \program files директориите и всичко ще си работи без заплаха за системата. По-точно казано задай им правата само за четене за тая група... ти явно си знаеш как. Ако толкова те притеснява четенето на дадени файлове (те не са много) забрани им индивидуално и четенето. Иначе другото трябва да се чете все пак, тези програми и системата нали трябва да работят...? В XP / 2000 си има група users, която върши тая работа, в домейн или под server 2003 не знам как стоят нещата.

[MitkoS]

Ами, значи аз Administrators и SYSTEM не съм ги пипал те си имат достъп навсякъде. Everyone съм го разкарал от където трябва. Тук по-скоро въпроса е как да му настроя достъпа до Windows директорията. Ако не му дам достъп май не иска да се логне - или по-точно влиза за секунда и после пак се логва аут. Ако му дам достъп как да опазя сустемата. Той маже да си докопа различни файлове и да направи големи бели. АА и още нещо Restricted Users аз съм го дефинирал не е по подразбиране защото не намерих такава група - знам, че при XP има.

Я виж дали няма група "Server Operators".
И ако има, пусни едно търсене в Гугъл за тая група.

Не се правя на "велик", подсказвайки ти малко и карайки те да си търсиш информация сам.
Просто, никога не съм работил със сървъри, които не са домейн контролери или не са мембър-сървъри към домейни. (А при теб доколкото разбирам правилно от наличната информация това не е така)
Та при такива сървъри, потребител с неадминистраторски права може да работи на сървъра само ако е член на групата "Server Operators". Но доколкото сега прочетох на сайта на Майкрософт, тая група се свързва с Active Directory
http://technet.microsoft.com/en-us/library/cc756898(WS.10).aspx
така че може и да не ти свърши работа за "логването". А отделно от това може да не ти свърши работа и по отношение на правата, защото на тая група автоматично се гарантират някакви минимални права.
------------
Server Operators
Description: On domain controllers, members of this group can log on interactively, create and delete shared resources, start and stop some services, back up and restore files, format the hard disk, and shut down the computer. This group has no default members. Because this group has significant power on domain controllers, add users with caution.
Default user rights: Back up files and directories; Change the system time; Force shutdown from a remote system; Allow log on locally; Restore files and directories; Shut down the system.
------------

ПП.
Сега виждам, че и други групи имат права Allow log on locally, но като цяло са по ограничени откъм права - например Print Operators. ... досега не го знаех и не го бях забелязвал ... добре че са форумите и чуждите въпроси.

[DLT]

Благодаря на всички за съветите. При мен има някакъв напредък вече не изхвърля потребителя, но това е защото съм му дал достъп до Windows-а. Я кажете как може да се защити системата по-добре за да не вземе да прочете някой файл дето не е за четене, например SAM. Въобще какви са му възловите места които трябва да се защитят на тоя Win.

[MitkoS]

Има едно policy, което определя кой може или не може "да се логва" на сървъра. (виж картинката)
А отделно от това, доколкото ми е известно, "обикновен потребител" така или иначе няма права за четене и писане, освен в папката с профила си.
Така че, бих ти предложил да направиш следното (и да видиш дали няма да ти свърши работа)
1. Дефинираш си нов потребител. Би трябвало, да не може този нов потребител да се "логне" (желателно е да го провериш)
2. После стартираш gpedit.msc (START/RUN --> gpedit.msc) и както е на картинката, добавяш потребителя.
3. "Логваш" се с тоя потребител и разглеждаш до кои папки има достъп - не би трябвало да има достъп за писане извън профила си, не би трябвало да има и достъп за четене почти до никъде освен в профила си и евентуално в Program Files, не би трябвало да има каквато и да е възможност да променя правата си.

[DLT]

Така, аз го направих това, само дето не през gpedit а през local security policy в Administrative tools но се оказа, че има достъп до Windows за четене, Program files, My Documents. Това което ми трябва е да направя най-обикновен потребител който никъде да не може да пипа нищо освен в собствената си директория. Освен това трябва да му бъде ограничен достъпа и до Registry на windows за да не се променя и там нещо. Как може да се направи това. Знам, че в регистри има преференции, но ме е страх да ги променям, че ако нещо сгафя...

[panevdd]

Разгледай това Ръководство за създаване на ограничен акаунт - има доста полезни неща.