[ _ra_ @ 07.12.2007. 11:46 ] @
Interesuje me kako da se ogranice mogucnosti rada u winxp-u za odredjene usere a da to nije u gpedit-u zato sto ne treba i admin da bude pod restrikcijama, konkretno da se ne mogu instalirati nikakvi programi, da se ne moze nista skidati sa interneta, posto kod limited user u winxp radi restrikcija za dosta stvari ali opet se mogu instalirati i skidati programi. Probao sam razne "tweak" aplikacije ali one dosta stvari primene za admine a potrebno mi je da na admin nalogu sve radi.Ukoliko neko zna neki program nek preporuci.
Hvala unapred.
[ Shadowed @ 07.12.2007. 13:43 ] @
Regedit.
Shalu na stranu, vecina stvari je podesena u registry-u i sve sto je potrebno je da iz regedita otvoris hive fajl koji se nalazi u profilu odredjenog user-a i izvrsis potrebne promene.
[ bakara @ 07.12.2007. 14:57 ] @
I mene bi zanima ista stvar...

@Shadowed
Mozes li konkretnije, sta treba iskljuciti da se sprece instalacije programa?
[ _ra_ @ 08.12.2007. 07:44 ] @
jel mozes nesto malo vise da kazes o hive fajlovima ? u kratkim crtama :)
[ Shadowed @ 12.12.2007. 09:41 ] @
Sorry, nisam video da ima odgovora.
Ako se malo bolje razmisli, kako se definise instalacija programa? Ti pokrenes neki .exe (ili .msi, o tome malo kasnije) i on nesto radi. Sad, da li je to sto radi instaliranje neke aplikacije ili nesto drugo tesko je razlikovati (sa tacke gledista operativnog sistema).
Zbog toga, koliko ja znam, nije moguce tacno zabraniti instaliranje programa. E sad, ima nekih stvari koje se mogu uraditi.
Ukoliko se radi o .msi instalacionim fajlovima, oni koriste microsoft installer i za takve instalacije se moze uvesti zabrana (ovo vazi i za neke .exe). Takodje, moguce je ograniciti korisnika na izvrsavanje samo nekih .exe fajlova ali je to vrlo nezgodno za primenu (utice samo na pokretanje iz explorer-a, drugi programi mogu pokrenuti bilo sta). I, mogu se odrditi dozvole pristupa raznim folderima i ostalim resursima (permissions). Ovo poslednje opet nece mnogo pomoci protiv instalacije jer vecini korisnika ipak treba neki folder sa pravom upisa, i onda mogu instalirati program tu. Postoje i third party software koji donose neku dodatnu zastitu. Valjda prepoznaju da je nesto instalacija ili vec kako.
Sve u svemu, u pitanju je nadmudrivanje. Postoji prilicno opsiran tekst na http://technet.microsoft.com/en-us/library/bb457006.aspx koji doduse, nisam ceo procitao, ali trebalo bi da pruzi neke korisne informacije. Informacije koje se tamo nalaze, uglavnom se odnose na situaciju gde postoji domen i vecina stvari se podesava preko group policy manager-a koji se u tom slucaju moze primeniti na pojedinacne korisnike ili organizacione jedinice. Kako to primeniti na pojedinacne korisnike na stand alone kompjuteru? Uglavnom ne lako. Vecina tih stvari koje se podese u GPO se reflektuje na registry kada se user uloguje. Potrebno je "samo" izvrsiti te iste izmene; medjutim, ja jos nisam nasao da je to negde dokumentovano tako da postoje dva nacina: google i reverse engineering. Ovo drugo se moze postici tako sto se umreze dva racunara (mogu i virtuelni), na jedan instalira Windows server (najbolje 2003) na drugi XP. Zatim se na serveru podigne domen a XP prikljuci tom domenu. Zatim vrsis podesavanja na serveru i trazis sta se promenilo na klijentu.
Ja sam se svojevremeno zezao sa tim, doduse, u malo drugacijem okruzenju, ali se svodi na isto. Medjutim, em davno bilo em mi nije narocito trebalo kasnije, tako da sam pozaboravljao :)



Hive fajlovi su fajlovi u kojima se nalazi Registry baza. Ima ih na vise mesta a konkretno ovde sam mislio na NTUSER.DAT fajl koji se nalazi u folderu profila (obicno c:\documents and settings\username) i koji se inace mapira na HKeyCurrentUser kada se taj korisnik uloguje. Moze se inace ucitati iz Registry editora sa File > Load Hive (nikako import!). Mada evo meni je sada disabled ta stavka u meniju al' me mrzi provaljivati zasto :P