Согласен, но кто мешает добавить в логон-скрипт отображение правил работы? В принципе - никто. В результате все предупреждены и "непонятки" могут появиться только из-за откровенной тупорылости.23.02.05 21:43 Число просмотров: 1743 Автор: kstati <Евгений Борисов> Статус: Elderman
А можно ли сделать так чтоб у юзера не было прав записи и изменения файлов на локальном диске, но тем не меннее была возможность создания ярлыков на рабочем столе?? Вроде как идеально подходит перемещаемый профиль, но вот тут незадача: при логоне юзера он копируется на локальный диск, и причем даже если юзеру запрещена запись на диск, сама система создает в documents and settings свою папку, на которую дает юзеру полные права. Цель: чтоб все созданные юзером документы хранились исключительно на сети, и у него не было ни малейшей возможности запихнуть их себе на диск....
Можно дать запрет на изменение D&S, а затем разрешить rw ntuser.dat, .ini, .log ; desctop ; %temp% ; обязательно надо запретить удаление и делать его вручную или по logon-скрипту. Ведь продвинутый юзер может запихнуть туда какую-нить "заразу"22.02.05 20:45 Автор: kstati <Евгений Борисов> Статус: Elderman Отредактировано 22.02.05 20:49 Количество правок: 3
Еще один вариант. Сколько ОЗУ у клиентов ? если допустимо, можно создать RAM-Диск, и использовать его в качестве %TEMP%'; Desctop; etc. Для экономии места можно оставить rw ntuser.dat, .ini, .log23.02.05 14:12 Автор: kstati <Евгений Борисов> Статус: Elderman
А задача в том, как юзерам не дать сохранять документы локально.
Предлагаемые меры скорее подталкивают юзеров себя контролировать.
Но еще не научившимся юзерам будет неприятно обнаруживать исчезновение не туда сохраненных документов.
Согласен, но кто мешает добавить в логон-скрипт отображение правил работы? В принципе - никто. В результате все предупреждены и "непонятки" могут появиться только из-за откровенной тупорылости.23.02.05 21:43 Автор: kstati <Евгений Борисов> Статус: Elderman
Согласен, но именно поэтому требуется публикация правил, например при логоне. Или в качестве обоев. Ярлык MyDocuments - легко "нацеливается" на сервер в том же logon-скрипте.25.02.05 08:12 Автор: kstati <Евгений Борисов> Статус: Elderman
Тогда тем же скриптом килять с десктопа всё, что больше 1 кб.23.02.05 03:01 Автор: push <Dmitry> Статус: Member Отредактировано 23.02.05 03:02 Количество правок: 1
У меня, например, на компе есть ярлычок больше 4 кб размером, причем созданный не мной в порыве изврата, а инсталлятором популярной софтины.
А еще лучше оставлять файлы *.lnk и прочие, которые имеют право по замыслу быть на столе.
Но это все тоже не подходит, ибо см. мой ответ выше: http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=16&m=118913
Хотя можно предложить компромисную модификацию этого варианта -- не удалять, а переносить во временное хранилище, откуда уже и удалять через определенное время, если юзер не спохватился о пропаже.
При таком подходе юзеры не будут сильно страдать при сохранении документов локально.
совсем зарезать не получится.22.02.05 20:37 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
совсем зарезать не получится.
В профайле юзера лежит ветка реестра HKCU (файл ntuser.dat). Понятно, что системе нужен доступ к ней. Единственный способ ИМХО - вставить юзеру в логон скрипт выставление всех пермишенов в локальном профайле так как надо.
с точки зрения безопасности NTFS ярлыки ничем не отличаются от документов22.02.05 19:31 Автор: LLL <Алексей> Статус: Member
Поэтому тут я вижу 2 варианта:
1) использование внешней проги, которая накладывает свои ограничения на работу с файловой системой, например, запрещая создавать в каталоге для рабочих столов любые файлы, кроме *.lnk
2) использование опять-таки внешней проги-службы, которая бы работала с админскими правами и позволяла создавать ярлыки на столе или просто копировать откуда-то (с сети) на стол файлы с ярлыками.
Все это только лишь мысли, т.к. готовых прог с такими функциями я не видел.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
