none
Нет доступа к другим ПК одной рабочей группы (Workgroup) в одноранговой сети

    Вопрос

  • Здравствуйте, господа!


    Позвольте описать проблему, которая звучит вроде просто, но доставляет непростые хлопоты. Хотелось бы надеяться, что и решение будет простым.
    Работаю инженером в школе, где есть обычный класс информатики с простой (опять же) одногранговой локальнойю сетью. Год назад к нам (как и во все школы)
    поступил типовой пакет ПО под названием "Первая ПОмощь". Из него, в частности, была поставлена ОС Windows XP Professional, версия 2002,
    которая за год обновилась до Service Pack 3.
    В классе 15 ПК, один из которых - шлюз для выхода в и-нет. Типовое подключение.
    Между собой все ПК соединяются через обычный коммутатор типа свич на 16 портов (10/100 Fast Ethernet Switch, модель D-Link Des-1016D).

    Всё в целом работает без проблем, доступ к Интернету со всех ПК по лок. сети работает безупречно. Но вот взаимный обмен между ПК оказался проблемным.
    Вы будете смеяться, но однажды учительница информатики сообщила мне, что нашлись какие-то ученики,
    которые установили свзяь между 3-мя ПК и на уроке обмениваются данными. Причём, войдя в систему через ограниченную уч. запись!
    Я, ничтоже сумняшеся думая, что "щас я вас ужо", сел, вошёл как админ (а встроенная учётная запись админа у нас со своим паролем) и...
    всё что смог сделать, только убрать из списка Доступа к компьютеру сети (в локальных политиках, назначения прав пользователя) пункты всех,
    кроме админ-ов, операторов и опытных пользователей (по одному из советов друзей из интернета). Однако эти злосчастные 3 ПК
    по-прежнему видят друг друга. На остальных ПК, пытаясь просто увидеть эти же 3 ПК выдаётся сообщение:


    "Нет доступа к Workgroup,у вас нет права на использование этого сетевого ресурса. Обратитесь к администратору..."

    Не буду описывать, сколько манипуляций я сделал (брандмауэр выключен, NetBIOS через TCP/IP и куча всего другого), но увы.
    Даже просто прямое подключение к одному из таких ПК (так наз. кросс-овер) ничего не даёт. Как говорится,"те же яйца, только в профиль".

    Прошу помощи! Буду весьма признателен.

    С уважением,
    Александр

    13 октября 2009 г. 17:07

Все ответы

  • что за обмен данными вы имеете ввиду ?

    14 октября 2009 г. 6:55
  • На компьютерах установлен сервис File and Printer Sharing for Microsoft Networks?


    сила в справедливости
    14 октября 2009 г. 7:35
  • Впечатление, что Вы пытаетесь смешать несколько разных вопросов.
    Ммм, я не совсем понял то, что Вы хотите получить в результате, поэтому поступлю несколько проще - напомню Вам за что отвечают те или иные параметры, а уж Вы будете решать как вам их использовать и использовать ли вообще.

    1. Есть параметр в реестре, скрывающий компьютер при обзоре сети стандартными средствами Windows. Можно "скрыть" компьютер.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
    "hidden"=dword:00000001
    (NET CONFIG SERVER /HIDDEN:Y)

    2. Есть параметр в реестре, отвечающий за права, разрешающие создание и/или изменение папок общего доступа. Можно обозначить список групп и учетных записей, которым разрешено создавать папки общего доступа, тем самым ограничив всех прочих в подобных правах. Очень удобная штука, только понимание принципов настройки сложноваты - не очевидны.
    http://www.microsoft.com/windowsserver2003/community/centers/security/security_faq.mspx (последний вопрос в списке).

    3. В политиках безопасности есть параметры, отвечающие за доступ к компьютеру по сети (за просмотр списка ресурсов компьютера). Можно ограничить список учетных записей, имеющих право "просмотра" ресурсов.
    - "Доступ к компьютеру из сети" - должен быть добавлена учетная запись "Все";
    - "Отказ в доступе к компьютеру из сети";
    - На компьютерах должна быть включена учетная запись Гость, пароль сброшен;
    - компьютеры должны находить в одной рабочей группе (имеющей одно и тоже имя).

    3.1. Вообще чтобы иметь административный доступ к компьютерам по сети - возможность управления и входа на C$, D$, ADMIN$ (при настройках ОС по-умолчанию) достаточно иметь одноименную административную учетную запись на всех компьютерах с одинаковым паролем.

    Советую вначале привести все значения на всех компьютерах к стандартным значениям, убедиться в том, что все работает, везде есть доступ, а потом усложнять настройки, "отсекая ненужный доступ". Все наиболее распространенные ключевые места я Вам обозначил в пункте 3.

    С уважением, Юрий.

    14 октября 2009 г. 17:13
  • Просто обмен файлами.
    15 октября 2009 г. 13:17
  • Юрий, мега-спасибо за подробный ответ. Я проверю всё на месте.
    Вы правы в том, что есть несколько вопросов.
    Что вообще требуется, т.е., что хочет учительница информатики - сделать так, чтобы в сети был один главный её ПК (шлюз не в счёт), с которого она могла бы входить на другие (ученические) ПК, читать/записывать в их "расшаренные" общие папки (общие документы) файлы данных. Ученики же могут обмениваться с учительницей ТОЛЬКО через эти свои общие папки. Они могут видеть ПК своей группы Wirkgroup, но не иметь туда доступа.
    Ещё раз спасибо.
    15 октября 2009 г. 13:45
  • По идее (если бы Вы ничего не настраивали) было бы очень просто.
    1. На всех компьютерах создается учетная запись "Teacher" с паролем, одинаковым на всех ПК и известным только учителю.
    1.1. Ученики работают на компьютерах из-под своих ограниченных учетных записей, учитель работает на своем компьютере из-под учетной записи "Teacher" - можно (да по идее и нужно) тоже ограниченной (или административной - без разницы).
    2. На всех компьютерах создаются папки общего доступа и дается полное разрешение на сетевой доступ к папке только учетке "Teacher".

    P.S. По идее все, но на всякий случай я бы защитился от особо продвинутых детишек с помощью http://www.microsoft.com/windowsserver2003/community/centers/security/security_faq.mspx (я выше писал), а то разрешения изменят на доступ к папкам и начнут между собой обмениваться или свои папки начнут создавать. А особо продвинутые знак $ в конце имени папки добавят (\\comp\hide_from_teacher$) и папка общего доступа не будет видна стандартными средствами просмотра компьютерных ресурсов. Придется каждый раз через управление компьютером проверять или использовать сторонний софт... Зачем нам мороки? :)

    ~~~~~~~~~~~~~~~

    P.P.S. Хм, можно Вам здесь перечислить дефолтовые параметры, которые Вы уже наменяли, можете сами до них догадаться, по моему предыдущему сообщению, а можно с помощью secedit.exe попробовать восстановить дефолтовые настройки (сам я secedit пользуюсь, но в настройки по-умолчанию никогда не сбрасывал, мало ли что, вдруг в понимании Microsoft по-умолчанию не совсем по-умолчанию) :))))

    Точно не помню, но что-то вроде - создаем базу с настройками безопасности и н
    астраиваем компьютер с помощью данной базы:
    secedit /configure /db C:\db.sdb /cfg "C:\WINDOWS\security\templates\setup security.inf"

    P.P.P.S. Вообще наврядли, но все-таки... Вы можете столкнуться с проблемой, когда вдруг у учетной записи Teacher будет доступ к папке общего доступа по сети, но не хватит ACL-прав к расшаренной папке на уровне NTFS разрешений (прав точно хватит, если Teacher будет администратором на пользовательских компьютерах). Особенно сложно с этим бороться если у Вас Windows XP Home Edition, а не Professional, управление NTFS разрешениями там недоступно (такая фича). Но и это поправимо. Используйте бесплатную программу "NCS Z-tools.he ACLView" последняя версия 1.4.104.17 (проект вроде закрыт, но программу еще можно найти в сети) для установки NTFS-разрешений.
    Еще есть "NCS Z-tools.he AccountView" (версия 1.3.903.9) - удобна для управления учетными записями в Home Edition.

    Удачи Вам!

    15 октября 2009 г. 15:53
  • Да, этот сервис есть на всех ПК. В локализованной версии Win XP именуется как "Служба доступа к файлам и принтерам сетей Microsoft", устанавливается в окне свойств подключения по локальной сети.
    Может быть этот сервис требует дополнительной  инициации где-нибудь?
    16 октября 2009 г. 15:02
  • Его вообще не надо трогать. Есть такой компонент и есть. Есть, пить не просит и никто про него не знает, пока шаловливые ручки его не отключат или не удалят :)

    Доступа так и нет? На чем Вы застопорились? Пишите подробнее каждый шаг, свои настройки. В последний раз проверяем на всех компьютерах (где-то Вы что-то упускаете или не соблюдаете в точности, может еще где настройки меняли - пишите больше информации, выкладывайте скриншоты, журналы событий):
    1. Одноименная рабочая группа.
    2. Учетка Гость активна. Пароль на нее сброшен ("нулевой").
    3. Создана административная учетная запись (например, Teacher) с одинаковым паролем, из-под которой и проводится проверка доступа.
    4. В политике безопасности настроены 2 параметра:
    "Доступ к компьютеру из сети" (должна быть добавлена учетная запись "Все") и "Отказ в доступе к компьютеру из сети".
    5. Брандмауэр отключен.
    6. Папка общего доступа (\\computer\Folder), к которой необходим доступ по сети, физически создана на диске (например, C:\Exam). Смотрим свойства папки в общих ресурсах и проверяем наличие.
    7. Компьютеры перед проверкой доступа перезагружены, выждано некое время после загрузки ОС (5 минут достаточно).

    16 октября 2009 г. 17:01

  • На текущий момент положение такое:

    1. Рабочая группа WORKGROUP для всех ПК.

    2. Уч. запись Гость ОТКЛЮЧЕНА НА ВСЕХ ПК и не используется, слишком орграниченные у неё возможности. Вместо неё ученики входят по своей созданной админом ограниченной уч. записи ("ученик"). Неужели отключение Гостя может так сильно влиять???

    3. Админ использует встроенную админ. уч. запись со своим паролем. Из-под неё и идёт вся проверка.

    4. В политике безопасности "Доступ к компьютеру из сети" группа "Все" была убрана по совету олдного спец-а, но НИЧЕГО не изменилось, всё работало (точнее, не работало) как до так и после ОДИНАКОВО. Вообще не ясно, для чего существует этв группа наряду с другими - если есть ВСЕ, то другие можно не указывать, так что-ли?  Ведь ВСЕМ тогла и открыт доступ. Я же КОНКРЕТНО могу указать, кому дать доступ. Кстати ВСЕ были убраны на тех ПК, которые видят друг друга, и ЭТО НЕ ПОВЛИЯЛО на их работу.
       Политика "Отказ в доступе к компьютеру из сети" осталась как была по-умолчанию - там у всех стоит параметр безопасности "SUPPORT_388945a0".

    5. Да, Брандмауэр Windows отключён. Вместо него Касперский.

    6. В качестве папки общего доступа используется (правда, неудачно) расшаренная встроенная системная папка "Общие документы".

    7...

    Те три ПК, которые как стабильно себя видели, так и видят (иногда, правда один-два других появляются в ИХ поле зрения, т.е. сетевом окружении и исчезают). НО ЧТО СТАБИЛЬНО - а) Ping К ЛЮБОМУ ИЗ ЭТИХ ТРЁХ ПК идёт ОТ ЛЮБОГО ДРУГОГО в сети (по 192.168.0.х). б) НА ДРУГИЕ ПК ПИНГ НЕ ПРОХОДИТ ни от одного ПК, даже от этих трёх. с) Между собой эти ТРИ ПК пингуются взаимно, что естественно.

    ПОКА СИТУАЦИЯ СТАБИЛЬНО ПЛОХАЯ.
    Попробую последовать СТРОГО ВАШИМ рекомендациям...

    СПАСИБО!

    .............................................................

    Юрий, привёл практически всё в соответствие с вашими 7 пунктами, кроме п.3 - НЕ СОЗДАВАЛ новую учётную админ. запись, а использовал встроенную админ. запись.
    РЕЗУЛЬТАТ ТОТ ЖЕ. PING работает с любого ПК локальной сети только в направлении всё тех же трёх ПК.

    P.S.
    В самом начале я написал про прямое соединение. Это было не совсем правильно сделано, ибо использовался обычный сетевой кабель, а нужен был кроссоверный (тоже "витая пара"). У меня его нет.

    • Помечено в качестве ответа kot-begemot 17 октября 2009 г. 18:17
    • Снята пометка об ответе kot-begemot 17 октября 2009 г. 21:19
    • Изменено kot-begemot 17 октября 2009 г. 21:26 ещё одна мысль
    17 октября 2009 г. 15:17
  • В первом посту Вы писал, что "Нет доступа к Workgroup,у вас нет права на использование этого сетевого ресурса. Обратитесь к администратору..."
    Это говорит о том, что физически сетевое соединение с другим компьютером у вас есть - пакеты доходят до компьютера, но не хватает прав для просмотра ресурсов компьютера. Так как компьютеры не включены в домен, то доверия другим компьютерам нет (кроме случаев с учетными записями, имеющими одинаковое имя и одинаковый пароль). Поэтому для доступа используется учетная запись Гость, а если она у вас заблокирована, то... как другой компьютер получит доступ? Там еще свои заковырки с учетной записью Все, я далеко не мегаинтеллектуал, но точно помню что эта учетка должна быть добавлена.

    // А для ограничения локального входа под Гостем нужно использовать "Назначение прав пользователя" - "Локальный вход в систему" - в "Политике безопасности". Удалите учетную запись Гость из списка.

    В свойствах "Подключения по локальной сети" у Вас должна быть "Служба доступа к файлам и принтерам сетей Microsoft" - что у Вас спрашивал выше Kudrat Sapaev.

    Порекомендую сделать так: Мой компьютер - меню Сервис - Свойства папки - закладка Вид - снять галочку "Автоматический поиск сетевых папок и принтеров". Функция эта как-то непонятно реализована, тормоза с открытием сети, пропадание ПК в сетевом окружении и т.д.. Ну ее к черту.

    Какая версия у Вас Касперского - просто Антивирус или Internet Security? Если второй вариант, тогда у Вас целый firewall работает. На всякий случай выгружайте его при эксперементе, чтобы убедиться в том, что у Вас правила настроены правильно, может Internet Security блокирует доступ.

    С пингами Вы меня смутили - как-то странно у Вас все. Расскажите подробнее про ip адреса, маску подсети, шлюз, DNS, используемые на 14 рабочих ПК (не отличаются ли они у вас как раз у тех 3 и остальных 11) и на 1 ПК, через который осуществляется выход в Интернет (там я так понимаю две сетевых - одна в маршрутизатор, другая в Интернет). И перезагрузите D-Link. Не одинаковые ли у вас подсети с интернетом (192.168.*.*)? Есть ли постоянные маршруты на каких-нибудь ПК (cmd - route print)? Такое впечатление, что у вас что-то еще с пакетами докучи.

    // Ну да, при прямом соединении нужен тот же кабель UTP5, но "обжатый" по другому. Схему-картинку обжатия легко найти в Интернет.

    ИМХО получается у вас две проблемы и решать их нужно независимо: проблемы с пакетами (маршрутизатором?) и отображение ресурсов (+ограничение доступа к ним).

    Все-таки я бы порекомендовал Вам сбросить настройки безопасности на одном любом из 11 компьютеров. Учетные записи никуда не денутся, данные тоже. Потом разблокировать Гость. Снять галочку "Автоматический поиск..." После перезагрузки отключить Касперского и посмотреть как себя будет вести этот компьютер. Будет ли он виден с тех 3 ПК, можно ли будет из-под Administrator-а просматривать ресурсы тех 3 ПК с этого и наоборот.

    18 октября 2009 г. 10:20
  • Юрий,
    сеть заработала ТОЛЬКО после полного отключения Касперского, т.е. проблема - в настройке этой антивирусной программы. Спасибо!

    В центре технической поддержки (не Касперского, а поставщика СБППО для школ- как ни странно, но ФАО, Федеральное агентство образования, не отдаёт номера лицензий школам на переданное ПО, т.е мы фактически НЕ МОЖЕМ напрямую обращаться к производителям ПО - от Майкрософта до Касперского) мне сообщили, ЧТО:

    1) настройки Касперского по умолчанию не препятствуют обмену данными по сети (как раз именно по-умолчанию и препятствуют, в чём я и убедился;
    2) при включенном компоненте Анти-Хакер Касперского, встроенный брандмауэр желательно отключать (брандиауэр Windows давно отключён, сразу после установки Касперского);
    3) попробовать отключить или настроить Антихакер (пока не сделал это, перенёс на другое удобное время).

    Гостевую учётку я снова закрыл. оставив созданную ограниченную учётку (для учеников).
    С галочкой "Автоматический поиск..." я поиграл, но, похоже, "те же сливы, только в профиль". Хотя, совет дельный. Попробую в сочетании с настройками брандмауэра Касперского. В настройках безопасности оставил только в "Сетевом доступе: модель совместного доступа и безопасности для локальных учетных записей - Обычная, вместо Гостевой по-умолчанию".

    Те злосчастные 3 компа всё-же имеют какие-то особые настройки, почти всё проверил, не нашёл различий. Т.е., в отличие от других ПК, они при ограниченной учётке "видят" в локальном окружении другие ПК и могут просматривать файлы в общих папках, но без права их изменения. На общем фоне это уже "мелочи". Хотя, как говорится, "осадок остался". Я удалял ограниченную учётку, чистил от неё реестр, снова создавал её с таким же именем - без изменений. Хоть Windows сноси с полным форматированием системного раздела...

    С уважением,
    Александр

    20 октября 2009 г. 20:08
  • Пожалуйста!

    Если эти 3 ПК видят чужие папки других компьютеров, то "проблема" (настройки доступа) явно находятся на других компьютерах. Так что в удалении учетных записей большого смысла нет. Т.к. у Вас Windows Professional, то Вы можете в полной мере воспользоваться расширенным функционалом общих папок. Смотрите "Свойства папки", закладка "Доступ" - кнопочка "Разрешения". Только те, кто перечислен в открывшемся списке "Разрешения для ..." к данной папке и имеют права в нее заглядывать! Удаляйте по очереди учетные записи, поэксперементируйте со списком и легко и определите причину доступа в общую папку по сети.

    С уважением, Юрий.

    P.S. Про касперского очень странно. Никто не мешает Вам обратиться по адресу https://support.kaspersky.com/ru/PersonalCabinet/Registration/ где в качестве регистрации Вы можете использовать ключ к Касперскому (или код активации).

    Даже если ключевой файл отсутствует (утерян), но антивирусное средство стоит лицензионное, можно путем несложных манипуляций "восстановить" ключ.

    22 октября 2009 г. 12:57
  • Юрий,
    вопрос можно считать (на данном уровне требований) решённым. Гран мерси ещё раз.

    Чтобы подытожить, я свёл всё к нескольким пунктам (надеюсь, это будет глобально полезно).

    Итак... "Организация ЗАДАННОЙ ФОРМЫ общего доступа в локальной одноранговой сети под Windows XP Professional"

    Имеется:
    - исходные начальные установки по умолчанию;
    - общая рабочая группа (Workgroup) для всех ПК, кроме шлюза (для скрытия его в сети).

    Требуется, чтобы:
    - быть видны в локальной сети все ПК одной рабочей группы, включая учительский, но без права доступа к ним;
    - учитель на своём ПК видел все общие («расшаренные») папки и имел к их содержимому доступ по чтению/записи;
    - ученики могли в своих папках только создавать/удалять свои файлы и читать файлы, переданные учителем, и не могли обмениваться друг с другом.

    Сначала создаём ограниченные учётные записи на всех ученических ПК.
    Далее в режиме администратора выполнить следующее.

    1. Отключить брандмауэр Windows.
    2. Настроить Анти-хакер в антивирусе Касперского: ВКЛЮЧИТЬ (пометить checkbox) сетевой экран и выбрать пункт «разрешить всё» (любую сетевую активность).
    3. Создать одноимённую папку на всех ученических ПК. Сделать её общей, для чего после правого щелчка на ней выбрать
    Свойства – вкладка Доступ – Разрешения – в списке Пользователей должен быть ТОЛЬКО Администратор с разрешением на Изменение и Чтение.
    4. Открыть ПУ (панель управления) – Администрирование – Локальная политика безопасности - Локальные политики – Назначение прав пользователя - Доступ к компьютеру из сети. УДАЛЯЕМ из списка пункт «Все».
    5. Открыть ПУ (панель управления) – Администрирование – Локальная политика безопасности - Локальные политики – Параметры безопасности - Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей. На вкладке «Параметр локальной безопасности» выбираем ОБЫЧНАЯ (модель совместного доступа).
    6. Гостевую учётную запись – можно ОТКЛЮЧИТЬ.
    7. Подключение по локальной сети – Протокол TCP/IP – Свойства – Дополнительно – вкладка WINS – выбрать «Включить NetBIOS через TCP/IP».
    8. Удалить всё, что видно в сетевом окружении учётных записей «Ученик» (чтобы не баловались зря).

    Проверил, ВСЁ OK!
    Осталась только одна "маленькая загвоздочка" - ОГРАНИЧИТЬ ДОСТУП учеников к настройкам Касперского.
    Т.е., умный ученик может изменить НАСТРОЙКИ СЕТЕВОГО ЭКРАНА и тогда привет.... Учитель его не увидит.
    Таким образом, вопрос в том, КАК ОГРАНИЧИТЬ ДОСТУП ПОЛЬЗОВАТЕЛЯ ОГРАНИЧЕННОЙ (пардон за тавтологию) УЧЁТКИ К некоторой КОНКРЕТНОЙ ПРОГРАММЕ?
    Думаю, что "копать" надо, скорее всего там же, в политиках безопасности...

    Александр

    • Изменено kot-begemot 30 октября 2009 г. 10:01
    24 октября 2009 г. 14:50
  • Здравствуйте, Александр!

    Хотя частично я с Вашим решением и не согласен, считаю, что некоторые вещи сделаны не корректно в пп. 2, 4 (п. 5 по-умолчанию и так включен), (п. 7 изменения лишние. забудете, потом появится DHCP и намаетесь), ну да ладно. Вообще повторюсь, я не сторонник лишних изменений - должны производиться только действительно необходимые "твики", если это не так, то потом неизменно появляются проблемы. :)

    В Касперском есть параметр в настройках "Включить защиту паролем". Придумайте пароль и вперед. Главное сами не забудьте :))
    Отключение защиты, выгрузка антивируса, изменение настроек, удаление антивируса - все будет защищено паролем.

    В локальной политике безопасности есть полезные настройки в плане ограничения запуска "неразрешенных приложений". Называется это "Политики ограниченного использования программ". По-умолчанию политики не созданы. Создав, а затем включив политики, Вы сможете сделать так, что пользователи смогут запускать только приложения из Program Files и Windows. Запуск других приложений будет ограничен (не возможен), все такие запуски будут регистрироваться в журнале... то ли системы, то ли приложений - не помню.

    Но необходимо сделать следующие минимальные настройки:
    - удалить из списка контролируемых типов файлов LNK (ярлыки), CHM (файлы справки), MDB (файлы базы данных Access).

    Учитывая, что (по хорошему) пользователи должны обладать правами "Пользователи", а не "Опытные пользователи", то скопировать программу в Program Files или Windows они не смогут, а запуск приложений из другого места не возможен. Очень удобно это делать там, где нет антивирусного ПО или оно редко обновляется. Вирус не сможет запуститься с флешки.

    25 октября 2009 г. 15:37
  • Юрий,
    не устану Вас благодарить. Пароль установил, проверил - работает! Теперь можно спать спокойно... пока пароль неизвестен. Надеюсь, что он хранится не в системе. А то ведь можно с помощью PCWIZARD просмотреть ВСЁ о системе. Есть и др. примочки. Ну, да это уже перебор. Пусть учительница смотрит за детьми.

    Хотел бы пояснить пункты 2, 4, 5, 7, к которым есть замечания (пишу объяснительную записку).
    П.2 - при других уровнях разрешения сетевой активности иначе Касперский не позволял работать с общими папками Учителю-Администратору со своего ПК.
    П.4 - согласен, это перестраховка, пункт может быть и лишний в данном контексте, тем более, что гостевая учётка уже выключена. Информацию об этом я почерпнул из http://www.xnets.ru/plugins/content/content.php?content.116.9 ,  где группу все предлагается удалить из списка разрешений доступа к общему ресурсу (папке). Это, чтобы уж наверняка, а если надо, то её легко восстановить в тех же политиках безопасности.
    П.5 - да, скорее всего так, но я, начитавшись в и-нете советов,  настолько уже напереставлял всего, что подзабыл, что было вначале, а потом тщательно проверил и вручую переустановил в нужное состояние. Как-то ведь можно ВЕРНУТЬ ВСЕ УСТАНОВКИ ПО УМОЛЧАНИЮ.
    П.7 - тоже взято из советов в таком месте: http://www.thg.ru/network/200401141/onepage.html . Там автор пишет, что "Настройка включения NetBIOS над TCP/IP "Enable NetBIOS over TCP/IP" необходима, поскольку Windows использует именно NetBIOS для совместного доступа к файлам и принтерам." Где-то я читал рекомендацию (уже не помню, но мелькало) отключать и-нет для корректной работы совместного доступа в локальной сети. Какая-то ерунда. Интернет по программе обучения необходим с одновременной работой локальной сети в классе. Или я что-то путаю здесь.

    Ещё - хотел бы уточнить суть удаления контролируемых (зарегистрированных) типов файлов LNK, CHM и MDB (в Свойствах папки - вкладка Типы файлов?). Не пострадает ли сам админ. от этого?
    И ещё вопрос - какие права по умолчанию имеет пользователь с ограниченной учётной записью - просто "Пользователя" или "Опытного п."?

    Спасибо.

    26 октября 2009 г. 18:14
  • Здравствуйте, Александр!

    1. Смысл действия "Удаление контролируемых типов файлов" понятен из самого описания - после удаления эти типы файлов могут неконтролируемо запускаться. Я считаю нормальным и правильным решением разрешить такой запуск пользователям. Кто-то может возразить - сказать про гепотетически возможные уязвимости в файлах-справки CHM и т.д., я думаю что это скорее из области фантастики, чем из практики взлома операционной системы. Пусть школьники свободно читают справку .CHM - это полезно, правильно, нужно! А вдруг школьники используют Office Professional (а не Standard), в состав которого входит Access - они могут захотеть пользоваться базами .MDB, ну а удаление LNK вообще необходимо иначе ни один ярлык из Пуск-Программы и с рабочего стола не сможет запуститься :))) Если вдуматься, то ситуация с ярлыками правильна и понятна - дело в том что пути нахождения ярлыков (путь к папке с ярлыками) нельзя добавлять в исключения (по аналогии типа как Windows\system32 и Program Files), потому что в папку с ярлыками можно положить исполняемый файл и тогда он запустится, а нам это не нужно. Ну а причину добавления в список контроля данного типа файлов ... лень фантазировать... видимо так надо. Скорее всего тот кто пользуется таким контролем по разумения Microsoft должен контролировать даже ярлыки. Можно не удалять LNK, а добавить все необходимые ярлыки в исключения (не устанете? оно вам надо? ведь разрешение запуска ярлыка не означает разрешения запуска исполняемого файла!)

    2. Есть два "вида" настройки, когда на администраторов, так же как и пользователей распространяются ограничения, и когда администраторы могут запускать все что угодно отовсюду. Настройка там же недалеко - Вы ее легко найдете и сделаете как Вам удобнее.

    3. Если у Вас НЕ настроена некая система "учебных классов", когда каждое утро (или по желания учителя) все программное обеспечение (и операционная система) рабочих станций пользвоателей перезагружается в некое стандартное состояние (например, восстановление из образа с помощью Acronis/Ghost и т.п.), то я рекомендовал бы Вам старать перейти на использование только учетных записей "Пользователи". Это поможет не заниматься ежедневным восстановлением программ и ОС, хотя с другой стороны не сломав ОС и не "потыкав" в настрйоках программ школьники вряд ли научать работе с компьютером (сугубо мое мнение - не настаиваю).

    Опытные пользователи обладают достаточно продвинутыми правами, ну практически Администраторы, много что могут, поэтому и вреда от неумелых или наоборот через чур умелых :) действий гораздо больше. Минус работы под простыми "Пользователями" можно сказать 1 (основной один, так то их несколько, но остальные менее важные) - это то что некоторые программы, которые писали "плохие" разработчики (ух я бы им руки поотрывал, пусть это даже иногда разработчики из самого Microsoft), не могут нормально работать из-за желания производить запись в папку Program Files (а надо бы в профиль конкретного пользователя - в специально придуманную для этих целей папку Application Data). Но что есть то есть - некоторые приложения с правами "Пользователя" могут отказаться нормально работать или вообще не захотят работать. Все это "лечится" (колечится) путем изменения прав на папку - после чего мы имеем следующую картину:
    - мы защитились с помощью контроля запуск программ и можно запускать все только из Program Files и Windows;
    - мы забрали возможность записи в Program Files (заставив работать под правами "Пользователя");
    - "кривая" программа запущенная из Program Files с правами Пользователя хочет, но не может писать в Program Files\Krivaja Proga\...;
    - мы даем право на запись группе "Пользователи" на папку Program Files\Krivaja Proga\... и кривая программа начинает работать нормально...

    ...и что мы имеем? Дурдом, потому что пользователь может скопировать в эту папку свою программу (права у него на запись есть) и запустить ее (право на запуск из Program Files тоже есть). Дурдом.

    ...Ну множество решений, вплоть до контроля/закрытия/отключения USB портов и т.д. и передачи файлов через ПК учителя. Можно ведь сделать так что и касперский не нужен будет и т.д. Практически многое возможно если постараться - один раз грамотно все настроить, написать инструкции и отдыхать. :D

    Удачи!

    31 октября 2009 г. 18:33
  • > Кто-то может возразить - сказать про гепотетически возможные уязвимости в файлах-справки CHM и т.д., я думаю что это скорее из области фантастики, чем из практики взлома операционной системы

    Это, к сожалению, не совсем фантастика. Достаточно выполнить простой поиск на специализированном ресурсе с антивирусной тематикой и мы сразу найдем несколько "зловредов", пользующих chm

    http://www.securelist.com/ru/find?words=chm&searchtype=virus2



    Я бы "перебдел" ;)
    • Изменено s.h.s. _ 2 ноября 2009 г. 13:11
    2 ноября 2009 г. 9:50
  • Вот человек сразу подсказал что и как. Единственное, пару риторических вопросов: указаны ли уязвимости и есть ли на них на данный момент патчи?

    Я лично думаю, что все подобные уязвимости давно закрыты обновлениями с Microsoft. Или я не прав?

    2 ноября 2009 г. 13:04
  • Вот человек сразу подсказал что и как. Единственное, пару риторических вопросов: указаны ли уязвимости и есть ли на них на данный момент патчи?

    Я лично думаю, что все подобные уязвимости давно закрыты обновлениями с Microsoft. Или я не прав?


    Вопрос действительно риторический. Совершенно нет необходимости интресоваться видом уязвимости, если любую из них можно закрыть, единожды настроив SRP таким образом, чтобы запретить запуск потенциально опасного контента из папок доступных пользователю для записи. Надеятся на то, что что все уязвимости давно закрыты патчами, IMHO, неправильно. Вот, пользовали ли же SMB много лет и не подозревали о том, что в реализации оного существует уязвимость, которую ныне успешно эксплуатирует Kido. Вы можете возразить, что заплатка вышла раньше. Да, вышла раньше, но это не принципиально. Принципиально, то, что  в казалось бы проверенном-перепроверенном коде была найдена ограмная дыра. Это не значит, что патчи не нужно ставить, ставить их нужно обязательно, но, думать в том роде, что "я все пропатчил и поеэтому уязвимостей в моей системе нет" - неправильно, IMHO. Как-то так....
    3 ноября 2009 г. 12:31
  • Конечно же я лично так не думаю. Но в условиях школы выбирая между потенциальной уязвимостью в CHM-файлах и полезной возможностью школьникам развиваться, я бы выбрал второе. Да Вы сами наверняка (я то точно) много чего подчерпнули из различных файлов-справок в жизни? Пусть учатся дети - мое ИМХО. В остальном с Вами согласен.

    3 ноября 2009 г. 12:48
  • Коллеги,
    против развития школьников возражений нет. Не забывайте, что для решения этого благороднгого вопроса есть определённая материально-техническая и учебно-организационная база, проще говоря ресурсы, объём которых не всегда соответствует реальным возможностям.

    Поясню конкретикой. Наша школа имеет два класса информатики по 15 ПК, итого 30 - всё это примерно на 200 (как минимум) учеников с разными программами обучения - как говорится, "лосёнок (читай ПК) маленький, на всех не хватит". Чтобы детишкам можно было реально расти, эти ПК должны быть действительно ПЕРСОНАЛЬНЫМИ (ну, хотя бы один на двоих), а не по именованию только. Даром XXI век...

    Так что, Маркс-Энгельс-Ленин (а до них и старые материалисты типа Фейербаха) как всегда правы - материальное ПЕРВИЧНО!
    Ну и лишь потом можно вплотную заниматься и настройкой политик Software Restriction Policies (SRP) и файлами контекстной справки (CHM), причём, ИНДИВИДУАЛЬНО с каждым школьником. А пока такой возможности, УВЫ, нет.
    3 ноября 2009 г. 22:42
  • Странно. Раньше видел где-то, сейчас нет :)
    Пункт: "Открыть ПУ (панель управления) – Администрирование – Локальная политика безопасности "
    У меня нет "Локальная политика безопасности "
    9 ноября 2009 г. 7:25

  • Случайно удалили ссылку на Локальную политика безопасности (локальные параметры безопасности)? Попробуйте восстановить отсюда:
    %SystemRoot%\system32\secpol.msc /s

    По умолчанию идёт с ключом /s.
    15 ноября 2009 г. 10:09
  • Так просто оттуда ярлык не удалишь, можно, но сложно. Я думаю что это XP Home Edition, a не Professional :-/

    P.P.P.S. В начале загружается консоль mmc.exe (можно просто mmc и клавиша Enter). Затем загружается какая-нибудь оснастка msc. Можно эти два этапа объединить в один - просто сразу запустить файл оснастки. Ключ /s не нужен.

    Кстати очень удобно раз и навсегда настроить вид конкретных оснасток - ширину столбцов и рамеры окна, чтобы при их вызове сразу получать удовольствие от удобства использования настроенной оснастки. Для этого как раз нужно вначале отрыть mmc, затем оснастку msc и после настройки вида ветки в дереве параметров сохранять оснастку. Затем когда будете вызывать msc - сразу же ваш настроенный вид. Оч. удобно.

    18 ноября 2009 г. 16:42
  • У меня до сих пор не решилась проблема. Подскажите, что можно посмотреть и сделать мне, чтобы у меня на ПК (XP Home Edition) пускал пользователя к общей папке. Сейчас несколько ПК (XP Pro, Home Edition) пускает, а один (XP Pro SP3) не пускает, выдает ошибку, что недостаточно прав, обратитесь к админу ПК. Локальная сеть работает.
    28 июня 2010 г. 5:37