Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Можно дать запрет на изменение D&S, а затем разрешить rw ntuser.dat, .ini, .log ; desctop ; %temp% ; обязательно надо запретить удаление и делать его вручную или по logon-скрипту. Ведь продвинутый юзер может запихнуть туда какую-нить "заразу" 22.02.05 20:45 Число просмотров: 1704
Автор: kstati <Евгений Борисов> Статус: Elderman Отредактировано 22.02.05 20:49 Количество правок: 3
|
|
<sysadmin>
|
винды 22.02.05 18:23
Автор: dron <Ivanov Andrey> Статус: Member
|
А можно ли сделать так чтоб у юзера не было прав записи и изменения файлов на локальном диске, но тем не меннее была возможность создания ярлыков на рабочем столе?? Вроде как идеально подходит перемещаемый профиль, но вот тут незадача: при логоне юзера он копируется на локальный диск, и причем даже если юзеру запрещена запись на диск, сама система создает в documents and settings свою папку, на которую дает юзеру полные права. Цель: чтоб все созданные юзером документы хранились исключительно на сети, и у него не было ни малейшей возможности запихнуть их себе на диск....
|
|
Можно дать запрет на изменение D&S, а затем разрешить rw ntuser.dat, .ini, .log ; desctop ; %temp% ; обязательно надо запретить удаление и делать его вручную или по logon-скрипту. Ведь продвинутый юзер может запихнуть туда какую-нить "заразу" 22.02.05 20:45
Автор: kstati <Евгений Борисов> Статус: Elderman Отредактировано 22.02.05 20:49 Количество правок: 3
|
|
| |
Еще один вариант. Сколько ОЗУ у клиентов ? если допустимо, можно создать RAM-Диск, и использовать его в качестве %TEMP%'; Desctop; etc. Для экономии места можно оставить rw ntuser.dat, .ini, .log 23.02.05 14:12
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
| | |
это снова противоречит исходной постановке задачи 23.02.05 17:35
Автор: LLL <Алексей> Статус: Member
|
А задача в том, как юзерам не дать сохранять документы локально.
Предлагаемые меры скорее подталкивают юзеров себя контролировать.
Но еще не научившимся юзерам будет неприятно обнаруживать исчезновение не туда сохраненных документов.
|
| | | |
Согласен, но кто мешает добавить в логон-скрипт отображение правил работы? В принципе - никто. В результате все предупреждены и "непонятки" могут появиться только из-за откровенной тупорылости. 23.02.05 21:43
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
| | | | |
тупорылость среди юзеров нередкое явление 24.02.05 09:30
Автор: LLL <Алексей> Статус: Member
|
|
| | | | | |
Согласен, но именно поэтому требуется публикация правил, например при логоне. Или в качестве обоев. Ярлык MyDocuments - легко "нацеливается" на сервер в том же logon-скрипте. 25.02.05 08:12
Автор: kstati <Евгений Борисов> Статус: Elderman
|
|
| |
rw для desctop давать нельзя, иначе юзеры прямо туда документы и будут складывать 22.02.05 21:03
Автор: LLL <Алексей> Статус: Member
|
|
| | |
Тогда тем же скриптом килять с десктопа всё, что больше 1 кб. 23.02.05 03:01
Автор: push <Dmitry> Статус: Member Отредактировано 23.02.05 03:02 Количество правок: 1
|
|
| | | |
тогда уж больше 5 кб или даже 10 кб 23.02.05 17:43
Автор: LLL <Алексей> Статус: Member
|
У меня, например, на компе есть ярлычок больше 4 кб размером, причем созданный не мной в порыве изврата, а инсталлятором популярной софтины.
А еще лучше оставлять файлы *.lnk и прочие, которые имеют право по замыслу быть на столе.
Но это все тоже не подходит, ибо см. мой ответ выше: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=118913
Хотя можно предложить компромисную модификацию этого варианта -- не удалять, а переносить во временное хранилище, откуда уже и удалять через определенное время, если юзер не спохватился о пропаже.
При таком подходе юзеры не будут сильно страдать при сохранении документов локально.
|
|
совсем зарезать не получится. 22.02.05 20:37
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
совсем зарезать не получится.
В профайле юзера лежит ветка реестра HKCU (файл ntuser.dat). Понятно, что системе нужен доступ к ней. Единственный способ ИМХО - вставить юзеру в логон скрипт выставление всех пермишенов в локальном профайле так как надо.
|
|
с точки зрения безопасности NTFS ярлыки ничем не отличаются от документов 22.02.05 19:31
Автор: LLL <Алексей> Статус: Member
|
Поэтому тут я вижу 2 варианта:
1) использование внешней проги, которая накладывает свои ограничения на работу с файловой системой, например, запрещая создавать в каталоге для рабочих столов любые файлы, кроме *.lnk
2) использование опять-таки внешней проги-службы, которая бы работала с админскими правами и позволяла создавать ярлыки на столе или просто копировать откуда-то (с сети) на стол файлы с ярлыками.
Все это только лишь мысли, т.к. готовых прог с такими функциями я не видел.
|
|
|