Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Запрет на установку ПО пользователям домена (http://forum.oszone.net/showthread.php?t=251169)

sigmatik 11-01-2013 13:40 2064132
Запрет на установку ПО пользователям домена
 
Сервер - 2008 R2
Клиент - Win 7 Pro x64
Задача: запретить пользователям домена устанавливать приложения на своих рабочих станциях. Для этого в групповой политике включил " требовать повышение прав при установке программ" в конфигурации программ и в кон-ии пользователя. Политика приминилась, однако результата это не дало: на рабочей станции логинимся под пользователем, запускаем установку из *.msi , она начинается, потом просто выскакивает окошко UAC о том что для установки требуются администраторские права, я нажимаю да - и установка успешно завершается. Мне это не нужно. Мне нужно чтобы пользователь не мог устанавливать ПО , а администратор на этой же рабочей станции мог это делать ( просто залогинившись админом, или из под юзера командой Run As Admin в меню) . Что я делаю не так ? Спасибо

exo 11-01-2013 13:48 2064145
ну как бы уберите пользователя из группы "локальные Администраторы"

Telepuzik 11-01-2013 13:49 2064147
Цитата:
Цитата sigmatik
Клиент - Win 7 Pro x64 »
Зайдите под пользователем на машину и покажите вывод команды whoami /all.

WindowsNT 12-01-2013 01:06 2064734
Пользователи домена и без того не могут устанавливать приложения уже по умолчанию. Тут даже не столько убирать их из группы Администраторов нужно, сколько немедленно провести расследование, как они могли в той группе оказаться вообще. Хуже и придумать нельзя, разве только привилегии Доменного администратора им выдать. И сразу застрелиться.

exo 12-01-2013 01:08 2064736
WindowsNT, только паниковать не надо.............

Iska 12-01-2013 11:10 2064895
exo, полагаю, это никакая не паника. Просто здравый смысл и опыт.

exo 12-01-2013 13:48 2064969
Цитата:
Цитата Iska
Просто здравый смысл и опыт. »
Цитата:
Цитата WindowsNT
И сразу застрелиться. »

Iska 12-01-2013 20:57 2065275
exo, напоминаю чужой опыт: умные учатся на своих ошибках, а мудрые — и на чужих ;).

exo 12-01-2013 21:33 2065307
Цитата:
Цитата Iska
чужой опыт»
Цитата:
Цитата WindowsNT
И сразу застрелиться »
я встречал компанию, где все пользователи были админами домена. Без расстрела, спокойно всё было приведено в порядок.
Ни какого криминала во время владениями правами совершено не было. я по этому и написал - без паники! Это лишняя трата нервов.

и п.с. хуже придумать можно ;) права "администратор предприятия".

Iska 13-01-2013 01:02 2065476
Цитата:
Цитата exo
я встречал компанию… »
Участью прежнего администратора не поинтересовались ;)?

sigmatik 14-01-2013 10:52 2066321
Убрал пользователя из группы локальных администраторов, сейчас он вообще ни в каких группах не состоит, но это не помогло, я залогинился снова но ничего не изменилось, я все также могу устанавливать программы и изменять системные настройки, реестр и т.п.

Команда whoami /all
читать дальше »
C:\Users\user>whoami /all

Сведения о пользователе
----------------

Пользователь SID
============ ==============================================
DOMEN\user S-1-5-21-2983157150-4111312625-4067196217-1119


Сведения о группах
-----------------

Группа Тип SID
Атрибуты
=============================================== ======================= ========
==== =============================================================
Все Хорошо известная группа S-1-1-0
Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32
-544 Группа, используемая только для запрета
BUILTIN\Пользователи удаленного рабочего стола Псевдоним S-1-5-32
-555 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32
-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4
Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15
Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0
Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Метка S-1-16-8
192 Обязательная группа, Включены по умолчанию, Включенная группа


Сведения о привилегиях
----------------------

Имя привилегии Описание Область
, край
============================= ========================================== =======
======
SeShutdownPrivilege Завершение работы системы Отключе
н
SeChangeNotifyPrivilege Обход перекрестной проверки включен

SeUndockPrivilege Отключение компьютера от стыковочного узла Отключе
н
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключе
н
SeTimeZonePrivilege Изменение часового пояса Отключе
н


СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------

Утверждения пользователя неизвестны.

Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.

C:\Users\user>

Telepuzik 14-01-2013 10:58 2066326
Цитата:
Цитата sigmatik
Убрал пользователя из группы локальных администраторов, »
А вывод whoami говорит что пользователь входит в группу локальных Администраторов:
Цитата:
Цитата sigmatik
BUILTIN\Администраторы Псевдоним S-1-5-32 »
Может у Вас политики настроены которые добавляют пользователей в группу локальных Администраторов??

sigmatik 14-01-2013 11:12 2066328
Цитата:
Цитата Telepuzik
А вывод whoami говорит что пользователь входит в группу локальных Администраторов: »
Все , отбой, вроде разобрался.. Я редактировал членство в группах для пользователя через оснастку "локальные пользователи и группы" ( lusrmgr.msc ), сейчас же изменил уровень доступа в Панель управления\Учетные записи пользователя с администратора на пользователя и все заработало ....

Честно говоря мне не совсем понятна логика всего этого, ну да ладно, главное что проблема решена...

Несколько слов о том как пользователь оказался в группе администраторов: раньше раб.станция не была в домене и пользователь был локальным администратором, после ввода в домен я воспользовался программой ProfWiz , если вкратце - для того чтобы при вводе в домен на компьютере не создавался новый профиль доменного юзера эта программа просто конвертирует старый локальный профиль в профиль доменный, не перемещая никуда файлы пользователя.

Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ?

snark 14-01-2013 11:59 2066357
Вложений: 1
  • UAC.png (42.40 KB, скачиваний: 107)
sigmatik, может, настроить политики UAC?

exo 14-01-2013 12:27 2066380
Цитата:
Цитата Iska
Участью прежнего администратора не поинтересовались »
а его даже не было. Им нужен был домен, кто-то им его "настроил". Возможно просто пару раз приехав.
Я пытался узнать кто настраивал, т.к. была только одна идея - но ничего не сказали. Вторая идея - сам директор.
Что забавно, принтер и диски там подключались по логон скрипту. В 2008 R2 ! Дата создания скрипта - 1999 год.
там было много ещё каких "интересностей".

sigmatik 14-01-2013 13:01 2066411
Цитата:
Цитата snark
sigmatik, может, настроить политики UAC? »
что именно вы имели ввиду?

snark 14-01-2013 13:31 2066419
Цитата:
Цитата sigmatik
что именно вы имели ввиду? »
Цитата:
Цитата sigmatik
Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ? »
При запуске regedit не выводится окно UAC, а сразу появляется редактор реестра? Это и привело меня к мысли, что либо UAC отключен, либо выставлен на "слабые" настройки.
Почему запуск regedit от имени пользователя это "как бы не порядок"? Ведь при настройках по умолчанию пользователь может открыть редактор и производить запись в ветку HKCU.
Или ваша цель — закрыть доступ к редактированию реестра?

sigmatik 14-01-2013 13:46 2066424
Цитата:
Цитата snark
акрыть доступ к редактированию реестра? »
Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется?

Telepuzik 14-01-2013 14:21 2066439
Цитата:
Цитата sigmatik
Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется? »
Для запрета доступа к редактору реестра можете воспользоваться групповой политикой:Управление групповой политикой->Конфигурация пользователя->Административные шаблоны->Система->Запретить доступ к средствам редактирования реестра==Включено.

WindowsNT 14-01-2013 14:28 2066448
Dear sigmatik,
Судить о правильности/неправильности следует, лишь изучив вопросы безопасности и работоспособности системы. Систему Windows проектировали умные люди, и они лучше нашего с вами знают, кому что менять в реестре можно, а кому — нельзя.

Все ключи реестра имеют свои разрешения (Permissions) аналогично разрешениям NTFS. То, что вы делаете, запрещая редактор реестра — не более, чем фикция. Командой REG /? я могу сделать гораздо больше, чем редактором.

Основополагающее в безопасности реестра — членство в группах безопасности. Если не заниматься самоубийством, выдавая пользователям права Администратора, никто ничего в реестре не сломает.

Отключение UAC эту ситуацию даже улучшает, ибо UAC занимается эмуляцией системного реестра для пользователя, тем самым разрешая пользователю якобы писать в системный реестр. По сути, это может разрешить вирусу "прописаться" в эмулируемом реестре. Не для всех, но для конкретного пользователя.


Время: 19:29.

Время: 19:29.
© OSzone.net 2001-