Как ограничить пользователя в windows 7
Настройка учетной записи пользователя с ограниченными правами в windows 7
Этот блог написан Стивом Фридлом (Steve Friedl, технические советы на сайте Unixwiz.net) и первоначально опубликован в мае 2020 г. Автор выражает благодарность Сьюзен Брэдли (Susan Bradley, специалист Microsoft MVP) и Криспину Ковану (Crispin Cowan) за их помощь. |
Сейчас многие пользователи знакомятся с появившейся в продаже новой операционной системой windows® 7. Те, кто переходит на нее с ОС windows XP, пропустив ОС windows Vista®, обнаруживают новый интерфейс пользователя и совершенно новую концепцию безопасности: контроль учетных записей.
Возможность контроля учетных записей появилась еще в ОС windows Vista и встретила всеобщее неприятие вследствие ее "навязчивости". По мере выпуска обновлений для windows Vista она "угомонилась" и, похоже, нашла свое место в ОС windows 7. Мне очень нравится, как работает контроль учетных записей.
Даже в своей несовершенной форме попытка более четко разграничить административные и пользовательские задачи, граница между которыми была размыта в операционных системах windows с момента их появления, была неплохой идеей.
В значительной степени это касается ранних операционных систем для домашних пользователей windows 95, windows 98 и windows ME, в которых с технической точки зрения не существовало различий между этими ролями: каждый пользователь был администратором, а разработчики программного обеспечения даже не задумывались о разделении ролей.
И даже в более современных системах windows NT, windows 2000 и windows XP было настолько трудно работать в качестве пользователя, не имеющего прав администратора, что многие просто отказывались от этого и работали с учетной записью администратора. Практически полностью это было обусловлено вредными привычками разработчиков программного обеспечения: сами они работали с правами администратора и просто создавали код, в котором предполагалось наличие таких прав.
В корпорации Майкрософт прилагали большие усилия, чтобы исправить ситуацию, когда каждый пользователь выступал в роли администратора. Контроль учетных записей стал попыткой найти компромиссное решение: если вы собираетесь входить в систему в качестве администратора, мы, по крайней мере, можем проинформировать вас о различии ролей. Именно для этой цели задумывался контроль учетных записей.
Данная статья посвящена исключительно операционной системе windows 7, но большинство идей применимы и для ОС windows Vista. Кроме того, в статье описываются только компьютеры, входящие в состав рабочих групп, или автономные компьютеры; в ней не рассматриваются более сложные корпоративные среды с компьютерами, присоединенными к домену. |
Содержание документа
Описание контроля учетных записей
Метод 1. Настройка новой установки
Метод 2. Преобразование уже установленной учетной записи администратора
Отключение учетной записи администратора
Выбор пароля
Защитите себя от собственного компьютера
Контроль учетных записей обеспечивает защиту доступа к правам администратора, что связано с повышением прав: при попытке выполнения задач администрирования операционная система автоматически повышает права до уровня администратора или запрашивает того либо иного рода разрешение или учетные данные.
В ОС windows 7 различают три широких класса пользователей.
Несмотря на наличие у пользователя возможности повышения прав до уровня администратора вследствие членства в локальной группе Администраторы, в ключевые моменты контроль учетных записей вмешивается и запрашивает подтверждение намерений.
Такой запрос появляется в режиме Запрос согласия. При нажатии кнопки Да права задачи повышаются, и она выполняется от имени администратора.
Для выполнения задач администрирования рекомендуется всегда использовать такого рода специальную учетную запись администратора, а не встроенную учетную запись Администратор.
В ОС windows 7 предусмотрен ползунок для настройки контроля учетных записей, который позволяет изменять уровень запросов контроля учетных записей, в том числе полностью отключать эту функцию (Режим одобрения администратором).
В операционных системах UNIX и Linux никогда не возникает путаницы насчет того, какие задачи относятся к административным, а какие к пользовательским — это всегда очевидно.
Такое разделение ролей хорошо иллюстрируется поведением пользователей в группах новостей в восьмидесятые годы. Пользователь, размещающий сообщения из своей учетной записи root (администратор компьютера), подвергался жесткой критике: "Не работай под root"!
Такие учетные записи просто не имеют непосредственных полномочий для выполнения административных задач или возможности повышения прав с помощью простого подтверждения. Для этого требуются учетные данные, например пароль или смарт-карта. При этом пользователю выдается следующий запрос.
Этот режим называется Запрос на повышение прав (в этом режиме кто-нибудь может ввести пароль, стоя за плечом у пользователя, и повысить права для утвержденной задачи).
Я считаю учетные записи пользователей с ограниченными правами очень полезными!
Я использую их, начиная с пакета обновления 2 (SP2) для windows XP, в том числе на своем ноутбуке и основной рабочей станции для разработки ПО. Временами это доставляло неудобства, но позволило значительно уменьшить уязвимость моей системы и несомненно внесло свой вклад в то, что безопасность моих компьютеров под управлением ОС windows никогда не была нарушена.
При переходе на ОС windows 7 я, естественно, хотел использовать учетную запись пользователя с ограниченными правами, но не зная, как она работает (в windows 7 и в windows Vista), я оказался фактически отрезан от своего собственного компьютера (см. раздел Защитите себя от собственного компьютера ниже).
В результате после некоторых размышлений (и нескольких переустановок системы) я написал эту статью, которая должна помочь повысить уровень безопасности тем пользователям, для которых это важно.
В этой статье приводится описание двух процедур: для новой установки операционной системы и для модификации уже установленной системы, в которой основной пользователь является администратором.
Этот метод применяется, если операционная система windows 7 уже установлена, а устанавливающий пользователь (в данном случае Steve) был автоматически создан с правами администратора. С технической точки зрения можно было бы изменить имя учетной записи на SteveAdmin и создать новую учетную запись Steve для пользователя с ограниченными правами, однако это привело бы к повреждению профилей пользователей, рабочего стола и других личных настроек. Несмотря на наличие возможности копировать профили, проще создать новую учетную запись администратора и понизить уровень имеющейся учетной записи.
Ниже приводится описание действий.
К данному моменту в одной из двух процедур был настроен пользователь Steve с ограниченными правами и учетная запись администратора SteveAdmin, однако некоторые пользователи могли ранее включить встроенную учетную запись Администратор.
Я считаю, что этого делать не следует, и рекомендую отключить эту учетную запись. Эти действия не требуется выполнять, если операционная система windows 7 только что установлена или если учетная запись Администратор не отображается на странице входа в виде значка пользователя, который может войти в систему.
В случае сомнений действия, которые требуется выполнить для проверки и отключения, практически идентичны.
Как ни странно, не всегда необходимо иметь пароль для учетной записи. К учетной записи с пустым паролем невозможно получить доступ по сети, что позволяет существенно снизить уязвимость компьютера.
Но для этого требуется обеспечить надлежащую физическую безопасность компьютера. Но при наличии на компьютере (или в среде) пользователей, которым не разрешено выполнять административные задачи, не рекомендуется использовать пустой пароль, поскольку в этом случае любой человек может подойти к компьютеру и натворить дел.
Кроме того, ноутбук, который выносится из дома, вряд ли подходит для использования пустого пароля, поскольку обеспечить его физическую безопасность проблематично.
Возможно, что для большинства домашних пользователей выбор схемы использования паролей не играет большой роли, однако в случае сомнений следует обсудить применяемый сценарий с заслуживающим доверия специалистом по безопасности.
Как уже говорилось, я раньше не устанавливал ОС windows Vista и поэтому не знал, что учетная запись "Администратор" по умолчанию отключена. Это закончилось неприятным сюрпризом после понижения прав учетной записи Steve.
После настройки компьютера я открыл панель управления, чтобы понизить права учетной записи Steve до уровня обычного пользователя. По незнанию я удалил единственную оставшуюся учетную запись администратора, так что после выхода из системы и последующего входа в систему (чтобы применить изменения учетной записи) при следующей операции контроля учетных записей появился приведенный ниже запрос.
Внимательный читатель заметит, что здесь нет места для ввода пароля! Сказать, что это вызвало досаду, все равно, что ничего не сказать. В зависимости от конфигурации компьютера может появиться приглашение использовать смарт-карту, но это не сильно поможет в случае компьютера, который не настроен для поддержки смарт-карты.
Это представляется недостатком системы, хотя данная ситуация возникла по моей вине.
technet.microsoft.com
Как ограничить доступ к папке в windows 7
Бывают ситуации когда нужно запретить или поставить ограничение доступа к папкам или файлам, особенно это актуально если на вашем компьютере есть несколько локальных пользователей которые не имеют прав администратора. Таким образом можно обезопасить свои данные как от чтения так и от полного удаления с ПК.
Как ограничить или запретить доступ к папке
Для ограничения прав работы с той или иной папкой для нескольких пользователей одного и того же компьютера, найдите необходимую папку и нажмите по ней правой кнопкой мышки, выберете последний пункт контекстного меню — «Свойства».
Затем в появившемся окне «Свойства папки» перейдите на третью вкладку — «Безопасность» и выберете пользователя для которого вы хотите наложить запрет на ее использование. Если у вас больше двух пользователей, то ограничения нужно выставлять для каждого из них.
Выбрав пользователя нажмите «Изменить», после чего появится окно с пунктами, каждый из них накладывает определенный запрет. К примеру выбрав «Полный доступ» вы ограничиваете любые действия связанные с папкой (вход, редактирование). Выбрав пункт «Запись» в папку можно будет войти, но вот добавить файлы или удалить их — невозможно. «Чтение» — накладывает запрет на вход.
Также установите пароль для своей учетной записи администратора, чтоб другие пользователи от вашего имени не могли снять наложенные вами запреты. Ну вот в принципе и все, как ограничить доступ к папке вы знаете.
tehno-bum.ru
Как запретить доступ к программам в windows 7
Мои программы и не отдам! Вообще можно ли сделать так, чтобы у обычного пользователя (не администратора) в windows 7 был доступ только к ограниченному списку программ, который определяет администратор? Разумеется! Для этого нам пригодится локальная групповая политика.
Однако, сразу предупредим – для работы нам потребуется редактор локальной групповой политики, которого, увы, не найдешь в версиях windows 7 “Домашняя базовая” и “Домашняя расширенная”.
Чтобы открыть редактор, щелкните на кнопке Пуск и введите в поле запроса команду gpedit.msc, после чего нажмите клавишу
Откроется окно редактора, в котором следует перейти в папку Конфигурация пользователя > Административные шаблоны > Система.
Прокрутите список в правой панели вниз и дважды щелкните на строке Выполнять только указанные приложения windows.
В открывшемся окне выберите переключатель Включить, а в поле Параметры щелкните на кнопке Показать, расположенной справа от строки Список разрешенных приложений.
В новом окне Вывод содержания введите те программы (дважды щелкая на строке), доступ к которым нужно разрешить. Закончив ввод, щелкните на кнопке ОК и закройте редактор групповой политики.
Вот, собственно, и все дела. Теперь если пользователь без полномочий администратора попытается получить доступ к программе, его встретит недружелюбное сообщение об ошибке, где предложат обратиться к системному администратору, дабы тот разрешил запуск программы.
Таким простым методом можно запретить девушке доступ к Пасьянсу, хе-хе ;)
windata.ru
Как создать пользователя с ограниченными правами
Желательно, после установки операционной системы windows, создать учетную запись пользователя с ограниченными правами и работать под ней.
Как создать учетную запись с ограниченными правами?
Дополнительную учетную запись в windows 7 можно легко создать, нажав на кнопку «Пуск», перейдя в «Панель управления» и выбрать меню «Учетные записи»-«Добавление и удаление учетных записей пользователя».
В открывшемся окне снизу нужно нажать на строку-ссылку «Создание учетной записи». Стоит заметить, что создать учетную запись можно только из учетной записи, которая имеет права Администратора.
В новом окне необходимо ввести имя новой учетной записи, например «Андрей», отметить точкой права пользователя «Обычный доступ» и нажать на кнопку внизу окна «Создание учетной записи».
Для новой учетной записи обязательно нужно придумать пароль. Для этого по кликаем мышкой по ее ярлыку двойным щелчком, после чего нажимаем на строку-ссылку «Создание пароля». В открывшемся диалоговом окне вводим пароль, затем дублируем его в строке ниже и нажимаем на кнопку «Создать пароль».
Вот и все, новая учетная запись с ограниченными правами создана. Теперь пользователь, который будет из-под нее работать, не сможет ни запустить, ни удалить файлы, если не будет знать пароль администратора.
Чтобы зайти в компьютер под новой учетной записью, перезагрузка не нужна. Для этого всего лишь нужно нажать на кнопку «Пуск», после чего нажать на стрелку в меню «Завершение работы», и выбрать из выпавшего меню «Сменить пользователя». После выбора нужной учетной записи, нажатия на ее ярлык и введения пароля вы сразу же увидите свой новый рабочий стол.
Настройка учетной записи с ограниченными правами
Чтобы при запуске файлов или их удалении открывалось окно с предложением ввести пароль администратора для продолжения работы, а не предупреждение о том, что вы не можете установить программу, так как у вас нет административных привилегий, необходимо изменить степень контроля учетных записей.
Эта опция специально предназначена для уведомления пользователя, который собирается произвести какие-либо манипуляции, требующие административных прав.
Следует заметить, что настраивать учетную запись с ограниченными правами нужно только из-под учетной записи администратора, иначе вы ничего не сможете сделать.
Для этого нужно нажать «Пуск»-«Панель управления», затем нажав на меню «Система и безопасность», выбрать строку «Изменение параметров контроля учетных записей».
В открывшемся окне нужно поднять бегунок на вторую позицию сверху «Всегда уведомлять», нажать «Ок», и в следующем окне, которое всегда теперь будет появляться при попытках запустить или удалить файлы, нажать «Да».
Теперь у вас есть пользователь с ограниченными правами в windows.
v-mire.net
Как ограничить доступ к файлам?
Очень часто возникает такая ситуация, когда за компьютером работает несколько человек и желательно, чтобы доступ к личным файлам и папкам каждого пользователя был ограничен для других пользователей. Можно вообще запретить доступ, а можно его разграничить: например, одному пользователю требуется открыть полный доступ, другому – только для чтения, а кому-то вообще запретить.
Зачем это делать, наверное, каждый из вас понимает и без моих подсказок. А вот как правильно ограничить доступ к файлам в windows 7, знают не все. Поэтому разберем этот процесс очень подробно.
ограничение доступа к файлам и папкам в windows 7
Для начала, конечно же, необходимо определиться с объектом, доступ к которому будем ограничивать. Итак, выбрали файл или папку и действуем по следующему алгоритму:
1. Кликаем по объекту (файлу или папке) правой кнопкой мыши и выбираем пункт “Свойства”.
2. В открывшемся окошке выбираем вкладку “Безопасность”. Именно в ней и определяются права пользователей на доступ к конкретному файлу или папке.
В верхней области будут отображаться все пользователи или группы пользователей, созданных в системе. Кликнув по конкретному пункту, можно просмотреть и изменить права конкретного пользователя на данный объект. Чтобы полностью запретить пользователю “прикасаться” к конкретной папке или файлу, удалите его из верхнего списка.
3. Если у вам не получается удалить или изменить права конкретного пользователя, значит все его права наследуются от “родителя”. Чтобы все-таки получить возможность ограничивать права пользователя на конкретный объект, проделайте следующее: зайдите снова на вкладку “Безопасность” в свойствах файла и кликните по кнопке “Дополнительно” (под разделом отображения прав пользователя (см.рисунок выше).
Откроется окошко “Дополнительных параметров безопасности”:
Перейдите на вкладку “Разрешение”, если она не открылась у вас по умолчанию. Далее кликните по кнопке “Изменить разрешение”. Далее уберите галочку “Добавить разрешение, наследуемые от родительских объектов”, прочитав сообщение с предупреждением, кликайте по кнопке “Добавить”. А потом все время “ОК”, пока не вернетесь к вкладке “Безопасность” свойства файла.
Теперь можете без ограничений изменить права для пользователей на доступ к конкретному объекту.
значения разрешений доступа
Более подробно остановимся на значениях конкретных прав пользователей:
- Полный доступ – здесь все довольно просто: разрешено выполнение всех операций с объектом, в том числе изменение разрешения и становится владельцем объекта.
- Изменение – отличается от предыдущего пункта тем, что разрешено выполнять только базовые операции с объектом, т.е. чтение, изменение, создание и удаление объекта. Изменять же разрешение текущего объекта и становится его владельцем не разрешено.
- Чтение и выполнение – говорит само за себя: можно просматривать содержимое объекта и запускать программы.
- Список содержимого папки – то же самое, что и в предыдущем пункте, только относительно каталогов.
- Чтение – разрешено только просматривать объект.
- Запись – разрешается создавать файлы и записывать в них данные.
- Особые разрешения – это разрешения, которые устанавливаются, нажав на кнопку “Дополнительно”.
особые рекомендации при настройке прав доступа к файлам и папкам
- Советую вам обратить внимание на следующее:
- Если выставить флажок для разрешения с более высоким приоритетом, то автоматически выставятся флажки зависимых разрешений.
- Установка разрешения “Запретить” имеет более высокий приоритет, чем “Разрешить”.
- Изменяя разрешения для каталога, автоматически изменятся и разрешения для всех вложенных объектов (папок и файлов).
- Если определенные разрешения недоступны, значит, они наследуются наследуется от родительской папки.
- Если у вас отсутствуют права на изменение разрешений, то и все флажки вам будут не доступны.
- При изменении разрешений для групп (например: “Администраторы”, “Пользователи”, “Системные”), автоматически изменятся соответствующие разрешения ко всем пользователям данной группы.
- Не изменяйте разрешения для группы “Система”, это может нарушить работу операционной системы.
Изменяя разрешения для конкретного объекта, будьте внимательны и осторожны. Не изменяйте за один сеанс сразу несколько разрешений, обязательно проверяйте работоспособность системы после внесения изменений.
pc4me.ru