Как правильно устанавливать права доступа в Windows?
Подскажите пожалуйста,как правильно устанавливать права доступа простым пользователям,чтобу они не могли ничего изменить(испортить) в системе(кроме разве-что фона рабочего стола),но при этом чтобы всё нормально функционировало.
Например я ставил запрет на запись,удаление,создание файлов для папки c:\Document and Settings\(и дочерним объектам),вследствие чего большинство приложений отказывалось запускаться,истроенная программа просмотра изображений запускалась,но вместо изображения показывала надпись "Просмотр не доступен". OpenOffice при попытке запуска выводит "Missing VCL resource. This indicates thatfiles vital to localisation are missing. You might have a corrupt installation."...
В конфигурации пользователя можно запретить запускать некоторые приложения.
А вот с правами доступа(свойства папки,диска или файла> вкладка "Безопасность") ничего не понятно:
Если я ставлю запрет на чтение прав доступа для пользователя,то почти все приложения отказываются работать. Ставлю запрет на смену владельца диска(и дочерних объектов),открываю свойства>безопасность>дополнительно>действующие разрешения> ввожу user : у смены владельца всё-равно стоит галочка!
Это что,глюк какой-то?
Ставлю запрет на смену владельца диска(и дочерних объектов),открываю свойства>безопасность>дополнительно>действующие разрешения> ввожу user : у смены владельца всё-равно стоит галочка!
Это что,глюк какой-то?[/QUOTE]
Это не глюк - АДМИНИСТРАТОРЫ могут изменять "владение" файлом для себя, для того, чтобы разблокировать доступ к файлам "неизвестных" пользователей.
А программы отказываются работать потому, что не могут читать/писать требуемые для работы файлы.
Вообще, "права доступа" настраиваются следующим образом:
"Windows" и "Program Files": SYSTEM и АДМИНИСТРАТОРЫ - полный доступ, ПОЛЬЗОВАТЕЛИ - "Чтение/выполнение"
Documents&Settings - аналогично, а подпапки конкретных пользователей: SYSTEM и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ - полный доступ. Также можно ЯВНО указать "полный доступ" для АДМИНИСТРАТОРОВ и самого пользователя.
А вот ЗАПРЕТАМИ лучше не пользоваться, потому что они перекрывают РАЗРЕШЕНИЯ. Интересней всего будет, если вы сделаете запрет для ВСЕХ :D
Это смотря по тому, что за настройки нужно сделать.
Например:
- есть достаточно большое количество групп пользователей (или пользователей);
- только для нескольких из них надо запретить доступ к некоторому ресурсу.
В этом случае как раз целесообразнее использовать именно запрет: и настраивать проще, и система будет обрабатывать такую настройку быстрее.
Для пользователя, обладающего правами администратора, в этом нет ничего страшного, т.к. он всегда сможет изменить такую настройку безопасности NTFS на правильную.
А программы отказываются работать потому, что не могут читать/писать требуемые для работы файлы.
Я же запрет ставил не для администратора,а для простого пользователя.
Как сделать так,чтобы пользователь ничего не смог там изменить и вообще чтобы вкладка "безопасность" ему не отображалась?
"Запрет" :D
А знаете ли вы, что "запрет" главнее "разрешения".
Картина ясная. Вы (более чем вероятно) состоите одновременно в группах "пользователи" и "администраторы". Соответственно, вы, как админитратор, хотите получить доступ к файлу, но как пользователю, Вам это запрещено.
Одно из двух:
1. Удалите себя из группы "пользователи". И получите ошибку доступа к файлам, к которым разрешён доступ только "пользователям".
2. Удалите для файла установленный "запрет", а также "разрешение" для "ВСЕХ" (если есть), установите "разрешение" только для "администраторов" и будет Вам счастье ;)
Можно скрыть все нужные папки, выключить из нужного пользователя отображение скрытых и убрать "Свойства папки" из gpedit.
С программами можно запускать Filemon,Regmon и смотреть за че прога обламывается, нужные проги можно запускать от имени другого пользователя.
Можно скрыть все нужные папки, выключить из нужного пользователя отображение скрытых и убрать "Свойства папки" из gpedit.
А как это сделать? Запустил я gpedit.msc и ничего там не понял...