none
How to deny Windows user nearly everything expect opening one folder with files? RRS feed

  • Domanda

  • Hi all,

    I was wondering if you could help me with my issue. I have 2 computers with Windows 10 Pro and 7 Pro which are used only for manual data log from our production. I need the windows user only be able to log into Windows and access only 1 folder with files. Everything else I want to deny for this user. How can I do it?

    The problem is that these 2 computers are used by people with zero IT skills and if someone make fun of them and changes the background or location of the folder or changes font, it confuses them and they cant work. So I need to lock whole pc except access to the folder with files which they update. 

    Thank you very much for your advices. :)

    Jirka 

    venerdì 12 luglio 2019 15:01

Tutte le risposte

  • Prosim pis anglicky do anglickych, nebo cesky do ceskych for.

    Pouzij GPO, mandatory profily a NTFS prava. Jsou pocitace v domene?!

    MP


    lunedì 15 luglio 2019 04:59
    Moderatore
  • Ahoj, pardon, myslel jsem si, že přispívám do anglického fóra.

    Počítače nejsou v doméně ale můžou být. 

    NTFS práva chápu, Mandatory profily víceméně taky, ale neumím použít GPO. Je tam spousty možností a netuším, které bych měl vybrat. Neexistuje nějaký základní template pro stanice, kde se chce maximálně omezit práva uživatele? Předpokládám, že nejsem první, kdo něco takového řeší. Zkoušel jsem něco takového hledat, ale zatím jsem moc úspěšný nebyl.

    Díky moc za radu.

    giovedì 25 luglio 2019 07:50
  • Tak se mi snad podařilo něco takového najít. Hledal jsem pod špatnými klíčovými slovy. Zde je odkaz na blog s vysvětlením, jak restriktivní GPO připravit. Zkusím pokračovat přes ně.

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/e356a68a-6fee-40dd-9afe-c4e213ecc2f3/ready-made-template-for-restricting-machines?forum=winserverGP

    Každopádně si rád poslechnu další rady, pokud mi je někdo nabídne. Přece jenom jsem GPO začátečník.. :)


    • Modificato Jirka26 giovedì 25 luglio 2019 08:24
    giovedì 25 luglio 2019 08:13
  • GPO umi strasne moc veci.

    Nastuduj si pokrocile zaklady a pak prijd s konkretnim dotazem (jak nastavit alternativni shell? jak povolit jen whitelistovane programy? jak schovat polozky z Win exploreru? ..). S tim uz se da nejak pracovat v ramci for a ne v ramci 2denniho skoleni :)

    MP

    giovedì 25 luglio 2019 09:56
    Moderatore
  • Takže snažil jsem v tom zorientovat. Nicméně i přesto, že jsem viděl spousty videí na youtube a četl další hromadu článků se mi nedaří GPO policy implementovat do klientského pc. I když jsem postupoval podle návodu. Pravděpodobně mi uniká už jen nějaký detail.

    Nejdříve jsem si vytvořil nového uživatele, kterého jsem vložil do skupiny uživatelů v "Active directory users and computers" pod svou doménou. Následně jsem v doméně vytvořil novou složku "Restricted" typu OU a v ní složku "Users" (taky typu OU). Do složky "Users" jsem poté vložil již dříve vytvořenou skupinu uživatelů, kteří budou mít menší práva. Tato skupina zatím obsahuje jednoho uživatele.

    Poté jsem se přesunul "Group policy managementu" a v něm jsem pod svou doménou našel složku "Restricted" a v ní složku "Users". Následně jsem vytvořil novou GPO v této doméně a připojil ji. Jako vzor jsem použil Starter GPO - Windows Vista v prostředí SSLF - user (ne computer). Jestli to dobře chápu tak v této chvíli bych měl mít tuto policy aktivní pro dané uživatele ve skupině.

    Nicméně, když se připojím z klientské stanice do domény tohoto konkrétního uživatele, tak ta policy aktivní není. Zkoušel jsem např. přístup do registrů, který by měl být zakázaný nebo nebo mazání historie v IE, což by taky podle nastavení nemělo jít a vše mi bohužel funguje.

    Prosím tedy o radu, co dělám špatně. Někde musím mít nějakou chybu nebo jsem něco přehlédl. Díky moc.

    giovedì 25 luglio 2019 15:36
  • GP je zalozene na AD (LDAP). Tedy aplikuje se na OU, ne na skupinu.

    Nazev je historicky a matouci - GP pochazeji z pre-AD doby, kdy se opravdu aplikovaly na skupiny. Ale to bylo v minulem tisicileti.

    V DSA.MSC presun uzivatele do vytvorene OU and magic will start ...

    Jinak rsop.msc, gpupdate /force a gpresult jsou tvi pratele

    MP


    giovedì 25 luglio 2019 17:34
    Moderatore
  • A az to vsechno pochopis, tak k tomu pridame i security filtering a bude to na tu skupinu :)

    GPO jsou mocny nastroj a jako s kazdym mocnym nastrojem je dobre postupovat v krocich od zakladu ke slozitostem, postupne objevovat dalsi moznosti. Doporucuju hodne cist.

    Zacni treba zde

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/13/group-policy-basics-part-1-understanding-the-structure-of-a-group-policy-object/

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/15/group-policy-basics-part-2-understanding-which-gpos-to-apply/

    https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/22/group-policy-basics-part-3-how-clients-process-gpos/

    venerdì 26 luglio 2019 09:01