none
При отбирании прав администратора пропадает доступ к раннее созданным файлам. RRS feed

  • Вопрос

  • Доброго времени суток!

    Задача такая - есть парк машин с вин ХР, домен, у некоторых пользователей ( порядка 100 человек ) права администратора на раб станции.

    Требуется отобрать права админа и выдать опытного пользователя. При выдаче новых прав у пользователей перестают открываться документы ( ссылается на недостаточные права ), запускаться некоторые программы ( профиль которых хранится в c-d&s-username-и т.д. ) в том числе почта. Для решения данного вопроса ранее писали скрипт, который выдавал пользователю права админа на профиль username и некоторые папки на диске C, но это не выход, т.к. смена атрибутов при большом объёме файлов занимает долгое время, юзер недоволен.

    Может кто сталкивался с данной проблемой и есть ли более быстрое и простое решение ?

    Спасибо!

    5 апреля 2013 г. 4:38

Ответы

  • Уточните, пожалуйста, как вы выдаете права администратора пользователям: просто добавляя доменную учетную запись пользователя в группу локальных администраторов на компьютере?

    Где расположены документы, которые не дают открываться после отбирания прав?

    Какие конкретно программы не работают?

    У нас похожая картина, только компьютеров в несколько раз больше, пользователи сидят как на XP так и на 7ке. По-умолчанию все работают с правами обычных пользователей и все прекрасно работает.

    Встречается софт, который не хочет просто работать с правами пользователя. В данном случае возможно несколько способов решения проблемы: дать полные права на папку с установленным софтом, на файлы (конфиги) программы (если они лежат где-то в другом месте, например в папке Windows), на разделы реестра для данной программы.

    Бывает что и такие манипуляции не помогают и программа работает только в контексте администратора. В таком случае, чтобы не давать права администратора, можно попробовать воспользоваться утилитой cpau.

    http://www.joeware.net/freetools/tools/cpau/

    Она позволит сформировать специальный файл для запуска конкретного приложения в котором будут зашифрованы администраторские имя пользователя и пароль.


    • Изменено Arty Romanenko 5 апреля 2013 г. 5:30
    • Помечено в качестве ответа BykovA 5 апреля 2013 г. 10:54
    5 апреля 2013 г. 5:29

Все ответы

  • Уточните, пожалуйста, как вы выдаете права администратора пользователям: просто добавляя доменную учетную запись пользователя в группу локальных администраторов на компьютере?

    Где расположены документы, которые не дают открываться после отбирания прав?

    Какие конкретно программы не работают?

    У нас похожая картина, только компьютеров в несколько раз больше, пользователи сидят как на XP так и на 7ке. По-умолчанию все работают с правами обычных пользователей и все прекрасно работает.

    Встречается софт, который не хочет просто работать с правами пользователя. В данном случае возможно несколько способов решения проблемы: дать полные права на папку с установленным софтом, на файлы (конфиги) программы (если они лежат где-то в другом месте, например в папке Windows), на разделы реестра для данной программы.

    Бывает что и такие манипуляции не помогают и программа работает только в контексте администратора. В таком случае, чтобы не давать права администратора, можно попробовать воспользоваться утилитой cpau.

    http://www.joeware.net/freetools/tools/cpau/

    Она позволит сформировать специальный файл для запуска конкретного приложения в котором будут зашифрованы администраторские имя пользователя и пароль.


    • Изменено Arty Romanenko 5 апреля 2013 г. 5:30
    • Помечено в качестве ответа BykovA 5 апреля 2013 г. 10:54
    5 апреля 2013 г. 5:29
  • Мышки с доп-клавишами ЗЛО! Писал ответ долго и вдумчиво, пока не тронул кнопку "назад" на мышке случайно.... ну... заново =)

    Первоначально машины инсталились под доменной учёткой пользователя, добавленной в группу локальных админов. 

    После переноса их в группу опытных ( по просьбе безопасников ), пропадает доступ к файлам ( документам ), которые пользователь раннее создавал.

    Доки хранятся в основном на раб столе и в моих доках ( в профиле ).

    Перестают работать программы, установленные в корне С ( да, у нас такие есть, глупо канеш, но ничо не поделаешь =) ) и те, у которых файл профиля храниться в учётке пользователя ( будь то корпоративная аська или почта пользователя ).

    Для возврата работоспособности было написано следующее безобразие, которое запускалось из под локального админа :

    c:\windows\system32\cacls.exe "C:\Documents and Settings\USERNAME" /t /e /c /g "domain\username":c
    c:\windows\system32\cacls.exe "C:\папка с программой которая отказывается работать" /t /e /c /g "domain\username":c

    c:\windows\system32\cacls.exe "C:\2 папка с программой которая отказывается работать" /t /e /c /g "domain\username":c

    и так далее..... 


    • Изменено BykovA 5 апреля 2013 г. 5:50 руки кривые, много ошибок
    5 апреля 2013 г. 5:49
  • Вообще странно, ибо у пользователя в его профиль по-умолчанию права полные (будь он администратором или обычным пользователем), поэтому и на рабочем столе и в моих документах файлы должны прекрасно открываться. Может в вашем случае меняли права по-умолчанию на профильную папку? Скажите, какие права на профильной папке изначально?

    Следовательно первая команда не нужна, либо замените ее на 

    "c:\windows\system32\cacls.exe "C:\Documents and Settings\USERNAME" /t /e /c /g "domain\username":f"

    Вот такие права по умолчанию на папках профиля: у группы локальных администраторов, SYSTEM и пользователя ПОЛНЫЕ права на папке

    5 апреля 2013 г. 6:13
  • По умолчанию на профиль права полные даже после переноса в опытных пользователей.... НО файлы работают только в режиме чтения, при попытке сохранить исправления, выдаёт ошибку о недостаче прав.... если заново проставить галочки на полный доступ, дождаться применения параметров, то всё работает.... 

    Опять же делать ручками около 180 машин, не айс.... =(

    5 апреля 2013 г. 6:23
  • Какие файлы? Office-ные? Если это Excel, то для корректной с ним работы у пользователя должны быть права на запись на папку, где файл лежит. В общем чую намудрили что-то с правами на профильной папке, возвращайте к исходному состоянию.
    5 апреля 2013 г. 7:15
  • В том то и дело, что ничего не мудрили с правами.... эх, будем созывать админов и безопасников тогда, совместно думать, может они что намудрили с политиками и не сознаются.

    Спасибо!

    5 апреля 2013 г. 8:10
  • Посмотрите на следующую политику:

    "Конфигурация компьютера" -> "Конфигурация Windows" -> "Локальные политики" -> "Политики безопасности" -> "Системные объекты: владелец по-умолчанию для объектов, созданных членами группы администраторов". У вас скорее всего выбрано значение "Группа администраторов", попробуйте поменять его на "Создатель объектов". Тогда для вновь созданных объектов (файлов, папок и т.п.) проблема не должна будет возникать.

    5 апреля 2013 г. 15:01
  • На всякий, отмечу: в Windows XP права Power Users практически идентичны администраторским. И те, и другие могут инсталлировать программы и заражать систему вирусами.

    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    11 апреля 2013 г. 17:49
    Отвечающий