none
How to deny Windows user nearly everything expect opening one folder with files? RRS feed

  • Dotaz

  • Hi all,

    I was wondering if you could help me with my issue. I have 2 computers with Windows 10 Pro and 7 Pro which are used only for manual data log from our production. I need the windows user only be able to log into Windows and access only 1 folder with files. Everything else I want to deny for this user. How can I do it?

    The problem is that these 2 computers are used by people with zero IT skills and if someone make fun of them and changes the background or location of the folder or changes font, it confuses them and they cant work. So I need to lock whole pc except access to the folder with files which they update. 

    Thank you very much for your advices. :)

    Jirka 

    pátek 12. července 2019 15:01

Všechny reakce

  • Prosim pis anglicky do anglickych, nebo cesky do ceskych for.

    Pouzij GPO, mandatory profily a NTFS prava. Jsou pocitace v domene?!

    MP


    pondělí 15. července 2019 4:59
    Moderátor
  • Ahoj, pardon, myslel jsem si, že přispívám do anglického fóra.

    Počítače nejsou v doméně ale můžou být. 

    NTFS práva chápu, Mandatory profily víceméně taky, ale neumím použít GPO. Je tam spousty možností a netuším, které bych měl vybrat. Neexistuje nějaký základní template pro stanice, kde se chce maximálně omezit práva uživatele? Předpokládám, že nejsem první, kdo něco takového řeší. Zkoušel jsem něco takového hledat, ale zatím jsem moc úspěšný nebyl.

    Díky moc za radu.

    čtvrtek 25. července 2019 7:50
  • Tak se mi snad podařilo něco takového najít. Hledal jsem pod špatnými klíčovými slovy. Zde je odkaz na blog s vysvětlením, jak restriktivní GPO připravit. Zkusím pokračovat přes ně.

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/e356a68a-6fee-40dd-9afe-c4e213ecc2f3/ready-made-template-for-restricting-machines?forum=winserverGP

    Každopádně si rád poslechnu další rady, pokud mi je někdo nabídne. Přece jenom jsem GPO začátečník.. :)


    • Upravený Jirka26 čtvrtek 25. července 2019 8:24
    čtvrtek 25. července 2019 8:13
  • GPO umi strasne moc veci.

    Nastuduj si pokrocile zaklady a pak prijd s konkretnim dotazem (jak nastavit alternativni shell? jak povolit jen whitelistovane programy? jak schovat polozky z Win exploreru? ..). S tim uz se da nejak pracovat v ramci for a ne v ramci 2denniho skoleni :)

    MP

    čtvrtek 25. července 2019 9:56
    Moderátor
  • Takže snažil jsem v tom zorientovat. Nicméně i přesto, že jsem viděl spousty videí na youtube a četl další hromadu článků se mi nedaří GPO policy implementovat do klientského pc. I když jsem postupoval podle návodu. Pravděpodobně mi uniká už jen nějaký detail.

    Nejdříve jsem si vytvořil nového uživatele, kterého jsem vložil do skupiny uživatelů v "Active directory users and computers" pod svou doménou. Následně jsem v doméně vytvořil novou složku "Restricted" typu OU a v ní složku "Users" (taky typu OU). Do složky "Users" jsem poté vložil již dříve vytvořenou skupinu uživatelů, kteří budou mít menší práva. Tato skupina zatím obsahuje jednoho uživatele.

    Poté jsem se přesunul "Group policy managementu" a v něm jsem pod svou doménou našel složku "Restricted" a v ní složku "Users". Následně jsem vytvořil novou GPO v této doméně a připojil ji. Jako vzor jsem použil Starter GPO - Windows Vista v prostředí SSLF - user (ne computer). Jestli to dobře chápu tak v této chvíli bych měl mít tuto policy aktivní pro dané uživatele ve skupině.

    Nicméně, když se připojím z klientské stanice do domény tohoto konkrétního uživatele, tak ta policy aktivní není. Zkoušel jsem např. přístup do registrů, který by měl být zakázaný nebo nebo mazání historie v IE, což by taky podle nastavení nemělo jít a vše mi bohužel funguje.

    Prosím tedy o radu, co dělám špatně. Někde musím mít nějakou chybu nebo jsem něco přehlédl. Díky moc.

    čtvrtek 25. července 2019 15:36
  • GP je zalozene na AD (LDAP). Tedy aplikuje se na OU, ne na skupinu.

    Nazev je historicky a matouci - GP pochazeji z pre-AD doby, kdy se opravdu aplikovaly na skupiny. Ale to bylo v minulem tisicileti.

    V DSA.MSC presun uzivatele do vytvorene OU and magic will start ...

    Jinak rsop.msc, gpupdate /force a gpresult jsou tvi pratele

    MP


    čtvrtek 25. července 2019 17:34
    Moderátor
  • A az to vsechno pochopis, tak k tomu pridame i security filtering a bude to na tu skupinu :)

    GPO jsou mocny nastroj a jako s kazdym mocnym nastrojem je dobre postupovat v krocich od zakladu ke slozitostem, postupne objevovat dalsi moznosti. Doporucuju hodne cist.

    Zacni treba zde

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/13/group-policy-basics-part-1-understanding-the-structure-of-a-group-policy-object/

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/15/group-policy-basics-part-2-understanding-which-gpos-to-apply/

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/22/group-policy-basics-part-3-how-clients-process-gpos/

    pátek 26. července 2019 9:01