Имеется пк, на котором установлена ос win xp sp3
Задача:
-Сделать две группы пользователей с разными параметрами безопасности в пределах ОДНОГО пк.
Суть именно не в получении настроек с сервера, а в настройке на самом пк.
А точнее - группа с админом и группа с гостем (аки смертный юзер) у которого отрезаны права на просмотр сист. папок, внесение изменений в сист.ресурсы, ограничение в доступе к инет ресурсам и прочими кастрациями.
Проблема как раз в том, что групповая политика настраивается сразу для всех пользователей в ос, и назначение вида группа1-политика1;группа2-политика2 - невозможно.
В ходе изучения проблемы был найден сабж под спойлером.
Кто-нить знает более простой способ?
Ставить вин2000 на сервер и получать с него настройки -не советовать
Нужна именно винХР с двумя группами, т.к. пк ОДИН и нету серваков )
может будет два компа и они будут также независимы.
Вот тут нашла гайд по данной теме с Realcolding.net
Реализация групповых политик для различных групп пользователей в рамках Локального Объекта Групповой политики (Local GPO)
Достаточно часто встает задача со следующими требованиями:
1) Чтобы ПК находился за рамками домена (часто даже в отделенном сегменте сети)
2) Операционная система должна быть Windows XP Professional или Windows 2000 Professional
3) На ПК должны работать несколько групп пользователей с различными правами
4) Безопасность должна обеспечиваться, в том числе и настройками Групповой политики.
Вот тут-то и наступает головная боль Системного администратора.
Применение Групповых политик для различных групп пользователей возможно реализовать при наличии домена AD через объединение пользователей в Организационные подразделения, Домены, Сайты. Но как это сделать в рамках одного Локального объекта Групповой политики?
Без сомнения, что добиться такой же гибкости применения Групповых политик, как в AD, в рамках рабочей группы не получиться. Но всё-таки кое-что сделать возможно, а именно опровергнуть утверждение, сделанное в книге «Microsoft Windows XP: Home Edition и Professional. Русские версии/ Под. общ. ред. А.Н. Чекмарева.» на стр.347.
«Локальный GPO применяется к локальным записям всех пользователей, поэтому вы не можете задавать разные групповые политики для администраторов и обычных пользователей».
Всё-таки можно задать различные групповые политики для администраторов и пользователей.
Ранее мы рассмотрели, что Конфигурация Компьютера, а точнее файл хранилище настроек Registry.pol применяется системой во время загрузки системы, а Конфигурация Пользователя Registry.pol во время регистрации пользователя в системе.
Т.е. мы не сможем ничего варьировать для раздела Конфигурация Компьютера потому, что он загружается вместе с системой, т.е. выполняется с правами учетной записи System.
К моменту, когда пользователь сможет регистрироваться в системе, политики Конфигурация Компьютера уже будет применены для всех пользователей, которые используют этот ПК.
Следовательно, этот раздел (Конфигурация Компьютера) не может быть применен к отдельной группе пользователей.
В работе с разделом Конфигурация Пользователя Локальной групповой политики мы имеем больше свободы. Файл Registry.pol Конфигурации Пользователя применяется во время регистрации пользователя в системе. Т.к. файл располагается на разделе с файловой системой NTFS то пользователь, к которому применяется Registry.pol должен иметь определенные NTFS права на доступ к этому файлу.
Именно на этом и построено это решение.
Изменение прав пользователя для папки GroupPolicy дает возможность разделить применение раздела Конфигурация Пользователя Локального Объекта Групповой политики на два типа пользователей.
1) Пользователи, на которых оказывают воздействие настройки раздела Конфигурация Пользователя
2) Пользователи, на которых не оказывают воздействие настройки раздела Конфигурация Пользователя
Используя следующие шаги для разделения пользователей и групп на две категории.
В примере группа Restricted содержит пользователей, к которым мы не хотим применять параметры раздела Конфигурация Пользователя.
Т.к. запрет в назначении прав NTFS имеет больший приоритет, чем права на разрешение, то ко всем пользователям, которые являются членами группы Restricted параметры раздела «Конфигурация пользователя» применяться не будут.
Обычно это делается только для группы с административными правами и полномочиями.
Как вариант реализации этого, может использоваться следующая последовательность.
Выполним тонкую настройку прав NTFS, чтобы в дальнейшем не испытывать проблем с повторным редактированием политик.
Тонкая настройка NTFS прав для группы Restricted
1) Создайте Группу пользователей, для которой не должны применяться настройки групповой политики, и добавьте туда требуемые учетные записи
2) Установите политики для Локальной Групповой Политики – Конфигурации Пользователя.
3) Откройте %SystemRoot%System32GroupPolicy и зайдите в свойства папки
4) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
5) Далее нажмите «Добавить» и
выберите или добавьте группу, которую вы хотите исключить из распространения раздела Конфигурация пользователя Локальной Групповой политики.
6) Далее жмем «Изменить» и выставляем права, как на картинке:
рис.4
Запрещаем:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов
Разрешаем:
Чтение разрешений
Смену разрешений
Данная настройка, позволяет в дальнейшем свободно изменять права, не беря объект во владение. Жмем «ОК».
7) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам» Жмем «ОК».
рис.5
8) Выскочит два предупреждения, на которых жмем «Да»
рис.6
рис.7
9) Далее убеждаемся, что права установлены правильно и работают. В качестве проверки, мы можем зайти во вкладку безопасность и там корректно отображаются права пользователей, но при этом через проводник не получаем доступ к файлам.
рис.8
рис.9
Права настроены, если всё было сделано правильно, то политики не будут применяться пользователю или пользователям группы Restricted.
Параметры раздела Конфигурация Пользователя вступают в силу со следующей регистрации пользователя в системе, а параметры раздела Конфигурация Компьютера вступают в силу после перезагрузки системы.
Либо возможно их немедленное применение через команду gpupdate командной строки.
Б) Повторное редактирование Групповых политик.
Вполне вероятна ситуация, что после этой настройки, потребуется внести изменения в Групповые политики, но тут возникает проблема.
Доступ к редактированию Групповых политик будет закрыт.
рис.10
Чтобы обойти это ограничение необходимо, восстановить права на папку GroupPolicy и все объекты в ней для этой Группы пользователей хотя бы до Read.
1) Откройте %SystemRoot%System32GroupPolicy и зайдите в свойства папки
2) Перейдите на вкладку Безопасность -> Дополнительно -> Разрешения
3) В элементах разрешений выбираем группу Restricted для которой тип прав «Запретить»
рис.11
4) Изменяем права на «Разрешить»:
Обзор/Выполнение
Содержание папки/Чтение данных
Чтение атрибутов
Жмем «ОК».
5) Далее требуется установить галочку напротив: «Заменить разрешения для всех объектов заданными здесь разрешениями, применимыми к объектам»
Жмем «ОК».
С этого момента доступ к редактированию Групповой политики появиться.
После редактирования необходимо вновь восстановить запреты для группы Restricted.
Распространение настроенных Групповых политик на другие ПК рабочей группы.
Многие коллеги утверждают, что для распространения параметров Групповых политик с машины на машину достаточно простого копирования папки GroupPolicy с настроенного ПК на конечный. К сожалению, я так и не смог добиться того, чтобы все параметры настроенной Групповой политики переносились обычным копированием папки.
Обычным копированием переносились параметры разделов кроме:
1) Конфигурация КомпьютераКонфигурация Windows Параметры Безопасности
2) Также я не смог уточнить переносятся ли Параметры Безопасности в Конфигурации пользователя из-за того, что задача, которую я прорабатывал изначально подразумевает, что данные станции (входят список потенциально опасных, т.е. никакого использования Сертификатов для установления Доверительных отношений не допускается.
3) Конфигурация программ – данный раздел не может быть использован в рамках Рабочей группы. Служит для централизованного управления и развертывания ПО в рамках домена.
Но это не является большой проблемой, если воспользоваться через MMC оснастками «Шаблоны безопасности» и «Анализ и настройка безопасности» [Secedit.exe].
Исходя из всего этого, для распространения Групповых Политик в рабочей группе требуется:
1. На эталонном ПК настроить Шаблон безопасности и необходимые параметры Локального Объекта Групповой Политики для разделов Конфигурация Компьютера и Конфигурация Пользователя.
2. Скопировать Локальный Объект Групповой политики из %Systemroot%System32GroupPolicy на другие клиентские рабочие станции.
3. Применить эталонный Шаблон безопасности для клиентской машины.
4. Проверить настройки Локального Объекта Групповой политики, убедиться, что параметры применились.
5. Если требуется, то настроить NTFS права для требуемых групп на папку GroupPolicy.
!Внимание.
При переносе политик на вновь установленную ОС XP Pro требуются дополнительные действия:
Если на конечной машине не были сгенерированы (настройки политики не были выгружены в файловый вид) объекты групповой политики (не запускалась утилита gpedit.msc и т.д.), то требуется выполнить следующее:
1) Запустить gpedit.msc и просмотреть все разделы, сценарии и т.д.
Это требуется, чтобы система сгенерировала объекты: Registry.pol, папки для скриптов и т.д.
2) После этого скопировать GroupPolicy.
Если этого не сделать, то после копирования с образцовой машины наблюдались:
1) Зависания при загрузке пользователя, при применении политик.
2) При обновлении политик через gpupdate, выдавал ошибку, что такой-то раздел недоступен, действие отменено.
3) Другие различные проявления нестабильной работы с учетными записями пользователей.
вот ссылка на оригинал. статью http://www.realcodin...ticle/view/4893
Сообщение отредактировал SmartDoll: 24 August 2008 - 10:46
