Введення обмежень на локальній системі Windows XP за допомогою консолі Групова політика - Статтіпро
Деколи дуже складно змушувати користувачів зосередити увагу на роботі та захищати їх системи від неприємностей. Так як жоден захист не зможе врятувати від винахідливого ідіота, дуже важко змусити користувачів припинити працювати із забороненими програмами та перестати відвідувати неперевірені місця в мережі. Навіть якщо адміністратор здійснить повне налаштування конфігурації системи, недосвідчені користувачі все одно примудряться завдати шкоди своїм машинам. Крім того, іконка браузера Internet Explorer на робочому столі так і закликає відволіктися від роботи. Деколи навіть звичайна мережа стає небезпечним місцем для деяких співробітників. Вгамувати впертість користувачів можна шляхом обмеження їх прав.
Серед домену за допомогою групових політик можна обмежувати повноваження користувача на кількох рівнях: домену, сайту та організаційної одиниці (organizational unit, OU). Наприклад, можна провести налаштування інтерфейсу таким чином, щоб приховати ярлики дисків у вікні "Мій комп'ютер" (My Computer), приховати іконку браузера Internet Explorer, вимкнути аплет "Встановлення та видалення програм" (Add/Remove Programs) і ввести ряд інших обмежень з метою змусити користувачів зосередитися на роботі та одночасно уберегти їх машини від проблем. Обмеження можна вводити як для окремих користувачів, так ідля груп. Це забезпечує всебічний контроль над тим, що хто, коли і де може робити.
Для середовища робочої групи такий метод буде занадто жорстким, оскільки там локальна групова політика застосовується всім користувачам, безвідносно виду членства облікових записів. Але є один хитрий трюк, що дозволяє вводити обмеження для окремих користувачів.
Консоль «Групова політика»
Для введення обмежень використовується консоль "Групова політика". Перед тим, як почати утискати користувачів вашої мережі в правах, врахуйте, що всі створені зміни негайно відобразяться на локальних облікових записах адміністраторів кожного комп'ютера. Тому не вводьте такі обмеження, які не дозволять надалі скасовувати обмеження для профілів адміністраторів. Створіть тимчасовий запис із приналежністю до групи «Адміністратори» на той випадок, якщо потім доведеться скасувати призначення повноважень.
Щоб обдурити Windows XP Professional та ввести різні обмеження для окремих користувачів:
1. Увійдіть у систему як Адміністратор. 2. Зайдіть у Пуск Виконати (Start Run) і введіть Gpedit.msc у рядку Відкрити (Open), щоб запустити консоль "Групова політика" (Group Policy), як показано на зображенні A. 3. Перейдіть на вкладку Конфігурація користувача/Адміністративні шаблони (User Configuration/Administrative Templates) і змініть значення, щоб ввести обмеження, якщо потрібно. Значення кожного обмеження різні. 4. Закрийте консоль і завершіть сеанс, потім знову увійдіть до системи як Адміністратор, щоб ввести зміни в силу. 5. Знову вийдіть і увійдіть в систему як інший користувач і переконайтеся, що зміни набули чинності. Виходьте та входите в систему як коженкористувача, для яких ви запровадили обмеження. 6. Увійдіть у систему як Адміністратор і скопіюйте файл%systemroot%\System32\GroupPolicy\User\registry.polу резервний каталог і назвіть йогоUserReg.pol. Скопіюйте файл%systemroot%\System32\GroupPolicy\Machine\registry.polу ту ж резервну папку і назвіть його MachineReg.pol. 7. Відкрийте консоль «Групова політика» та видаліть обмеження, введені в пункті 4. У деяких випадках потрібно буде використовувати протилежні заданим у пункті 3 значення. Наприклад, якщо ви вибрали "Увімкнути" (Enable), щоб зміни набули чинності, виберіть "Вимкнути" (Disable), щоб скасувати введені обмеження замість значення "Не налаштовано" (Not Configured), яке не вносить змін до реєстру. 8. закрийте консоль і скопіюйте резервний файл UserReg.pol, створений у пункті 6, назад у%systemroot%\System32\GroupPolicy\User\registry.pol, і переконайтеся, що файл повернули колишнє ім'я Registry.pol. Скопіюйте резервний файл файлу MachineReg.pol, створений у пункті 6, назад у%systemroot%\System32\GroupPolicy\Machine\registry.pol, і переконайтеся, що повернули файлу колишнє ім'я Registry.pol. 9. Завершіть сеанс Адміністратора, увійдіть до системи під профілем одного з обмежених прав користувача і переконайтеся, що обмеження повернулися на місце. Завершіть сеанс користувача, знову зайдіть як Адміністратор і переконайтеся, що обмеження не торкнулися профілю адміністратора. Якщо ви не використовували свій неадміністративний профіль у пункті 5, обмеження не повинні поширюватися на цей обліковий запис.
Автор: Diana Huggins Оцініть статтю: