none
Помогите!!! Нужно ограничить количество локальных учетных записей в системе RRS feed

  • Вопрос

  • Здравствуйте, уважаемые форумчане Smile

    У меня возникла такая проблемма:

    В операционной системе XP Prof SP3 необходимо создать ограниченное количество локальных учетных записей и не допустить создание новых Т.е. как можно задать ограничение на количество создаваемых в системе учетных записей.

    В идеале мне необходимо иметь на компе только 6 учетных записей: одну запись с правами администратора и пять с ограниченными правами. Заранее спасибо!!!

Ответы

  •  NIck@ написано:
    может офтоп, но. если вашы пк имеют доступ в инет, есть програмка, называется TeamViewer, с ее помощью можно получить доступ к удаленной машыне не создавая впн тунеля. правила на фаерволе настроить думаю не составит труда, и не нужно будет раздавать пароли админов, но Вам добавится работы.


    Машины все локалки, сети и инеты нет в принципе и возникнуть может только с трудом. nLitом винда вырезана почти до нуля, сетевые службы не просто отключены, а удалены из системы и т.д.
    Но за совет большое спасибо !!!

Все ответы

  • Учётные записи, могут администрировать только Администраторы и Опытные пользователи, переведи остальные учётные записи Пользователей, без админ привилегий , можно попробовать создать локальную группу, куда всех и скинуть .

    Модератор

  • Так  в  чём  проблема ? Ограниченные  учётки  не  могут  создавать  новых  пользователей , а  так  как  права  администратора  только  у  вас , то  никто  их  больше  не  создаст .
  • Доброй ночи, уважаемые форумчане Smile
    Спасибо, что откликнулись на проблему и не оставили без внимани мой вопрос !!!
    Но видимо я не совсем ясно поставил вопрос и вам не совсем понятна суть проблемы.

  •  Жук написано:

    Учётные записи, могут администрировать только Администраторы и Опытные пользователи, переведи остальные учётные записи Пользователей, без админ привилегий , можно попробовать создать локальную группу, куда всех и скинуть .



    Здравствуй, Жук Smile
    Спасибо за совет, я прекрасно понимаю, что право создания и администрирования учетных записей принадлежат Администраторам, как встроенному так и системному. При настройках мною естественно созданы одна запись с административными правами и несколько просто Пользователи, которые и работают на компе, а значит кроме созданного и встроенного админов никто пользователей не создат.
    Но проблема вот в чем, я, как бы проще сказать, создатель системы и главный контролер за ее работой. Я сделал образ операционки и раскатал его на компы в разных подразделениях. В каждом подразделении назначается из числа продвинутых юзеров админ, которому известен пароль административной учетной записи, но в обыденной жизни он работает как и все обычные пользователи. Обычные пользователи естественно заведены Пользователями, но с максимально путем применения дополнительных программных средств и настроек реестра ограниченными правами, позволяющими только набирать текст в ворде и слушать музычку. Машины все локалки, любая сетевая активность блокируется программными средствами.
    Сразу предвижу вопрос, зачем предоставлять права админа одному из пользователей, а не быть везде админом самому? Машин сотни и в разных городах, а я один Sad((
    Во-вторых, кому-то надо изменять пароли поьзователям, настраивать программные средства контроля и блокировки подключаемых внешних устройств и т.д. Короче без прав админа никак.
    Проблема в чем, некоторые местные админы для получения несколько расширенных прав, чем предоставленные сделанными настройками, просто создают новую учетную запись, пусть даже Пользователь, и без наложенных в исходнике дополнительными ограничениями пользуются благами и естественно гадят в системе Sad(( Перед моим появлением они ее сносят. Я конечно по журналам аудита факт создания учеток засекаю, но что толку, когда факт случился Sad((
    Так вот, у меня просто такая мысль посетила, чтоб дать по рукам: 1. Задать в системе, что записей может быть только, например, пять. Попытка создать шестую даже от имени админа заблокируется
    2. Вообще убрать от админа право создавать учетки (по аналогии как блокирнуть доступ к реестру)
    Рылся в ХРшке долго, но вот ничего дельного не нашел ни по первоому ни по второму способу.
    Потому и обратился к Вам Smile
    Если будет идея как поступить в этой ситуации, буду очень благодарен Smile))
  •  Rusikk написано:

    Так  в  чём  проблема ? Ограниченные  учётки  не  могут  создавать  новых  пользователей , а  так  как  права  администратора  только  у  вас , то  никто  их  больше  не  создаст .


    Здравствуй, Русик. Так проблема в том, что кроме меня в системе доступ к учетной записи админа системы имеет еще один человек Sad(
  • Тогда это нереально. Где имеет доступ еще "один". А если это еще и за пределами одного этажа в здании, то вообще из области фантастики. Они и без админских прав все поломают и настроят "под себя"
  •  Paul_by написано:
     Rusikk написано:

    Так  в  чём  проблема ? Ограниченные  учётки  не  могут  создавать  новых  пользователей , а  так  как  права  администратора  только  у  вас , то  никто  их  больше  не  создаст .


    Здравствуй, Русик. Так проблема в том, что кроме меня в системе доступ к учетной записи админа системы имеет еще один человек Sad(



    В  таких  случаях  легче  договориться  с  другим  человек  и  поставить  обоим  админов .
    Я  точно  не  знаю , существует  ли  такая  опция  ограничения  учётных  записей . Но  , допустим  она  есть . Вы  с правами  администратора , включаете  её ( устанавливаете  ограничения ) . Что  мешает  другому  сделать  всё  наоборот . Ведь , как  вы   сказали , "доступ к учетной записи админа системы имеет еще один человек" .
  • может офтоп, но. если вашы пк имеют доступ в инет, есть програмка, называется TeamViewer, с ее помощью можно получить доступ к удаленной машыне не создавая впн тунеля. правила на фаерволе настроить думаю не составит труда, и не нужно будет раздавать пароли админов, но Вам добавится работы.
  • Здравствуйте, уважаемые форумчане Smile
    Огромное спасибо за участие и дельные советы. Я понял, что апетиты пользователей придется ограничивать другими путями. Поработаю с политиками прав пользователей и попробую поиграть на этом, чтоб не оставлять в системе админа кроме себя Sad
  •  01MDM написано:
    Тогда это нереально. Где имеет доступ еще "один". А если это еще и за пределами одного этажа в здании, то вообще из области фантастики. Они и без админских прав все поломают и настроят "под себя"


    Ну почему столько скептицизма. Через групповые политики и софт по контролю за подключаемыми устройствами обычные пользователи загнаны в угол и занимаются только тем, что положено Smile))
    И запускают только установленные мной проги в ProgrammFiles, ничего с других флэшек и компактов не фурычит и отсылает к админу. Ну а действия админа под контролем при помощи политик аудита. На них я управу в дисциплинарном порядке  найду Smile)) Просто хотелось народ пооградить от ненужных шагов.
  • [quote user="Rusikk"




    В  таких  случаях  легче  договориться  с  другим  человек  и  поставить  обоим  админов .
    Я  точно  не  знаю , существует  ли  такая  опция  ограничения  учётных  записей . Но  , допустим  она  есть . Вы  с правами  администратора , включаете  её ( устанавливаете  ограничения ) . Что  мешает  другому  сделать  всё  наоборот . Ведь , как  вы   сказали , "доступ к учетной записи админа системы имеет еще один человек" .


    Логика есть в этом, несомненно, но срабатывет принцип опережения. Пока пользователь с админ правами додумается, что происходит, порядок какое-то время будет Smile
  •  NIck@ написано:
    может офтоп, но. если вашы пк имеют доступ в инет, есть програмка, называется TeamViewer, с ее помощью можно получить доступ к удаленной машыне не создавая впн тунеля. правила на фаерволе настроить думаю не составит труда, и не нужно будет раздавать пароли админов, но Вам добавится работы.


    Машины все локалки, сети и инеты нет в принципе и возникнуть может только с трудом. nLitом винда вырезана почти до нуля, сетевые службы не просто отключены, а удалены из системы и т.д.
    Но за совет большое спасибо !!!
  • Попробуй использовать Политику групп с ограниченным доступом.

    Политика групп с ограниченным доступом

    Политика «Группы с ограниченным доступом» может быть использована для управления членством в группах. При помощи этой политики можно определить, кто является членом группы. Члены, не определенные в политике, удаляются во время настройки или обновления. Кроме того, вариант обратной настройки членства гарантирует, что каждая группа с ограниченным доступом является членом только групп, присутствующих в столбце Входит в состав.

    Например, можно задать политику групп с ограниченным доступом таким образом, чтобы только определенные пользователи (например Мария и Петр) являлись членами группы «Администраторы». При обновлении политики только Мария и Петр останутся членами группы «Администраторы».

    Политику групп с ограниченным доступом можно запустить двумя способами.

    • Определить политику в шаблоне безопасности, который будет применяться во время настройки локального компьютера или при импорте шаблона безопасности в объект «Групповая политика».
    • Определить параметры объекта «Групповая политика», которые определяют вступление политики в силу при следующем обновлении политики. Параметры безопасности обновляются каждые 90 минут на рабочей станции или сервере и каждые 5 минут на контроллере домена. Кроме того, независимо от наличия изменений эти параметры обновляются каждые 16 часов.

    Внимание!

    • Если политика групп с ограниченным доступом определена и объект «Групповая политика» обновлен, любой текущий член, не указанный в списке членов политики групп с ограниченным доступом будет удален. Может также произойти удаление членов по умолчанию, таких как администраторы.

    Важно!

    • Группы с ограниченным доступом должны применяться главным образом для настройки членства в локальных группах на рабочих станциях и серверах.
    Модератор
  •  Paul_by написано:

    Машин сотни и в разных городах, а я один



    Ну и где  скептицизм?  Да еще и без поддержки сети. Я сомневаюсь, что "покоцанный"  с помощью nLite каким-то мифическим "Paul_by" дистрибутив, кто-то вообще установит, хоть и в приказном порядке.

    На счет административной управы. Как вы вообще  собираетесь  осуществлять  контроль? Кататься по "точкам"?
    Извините, не сочтите за флейм и желание тупо сказать "Я против".

     

    Просто высказал свою точку зрения.