Kezem alá került egy Windows 2012 r2 server. Mivel a felhasználók 1-2 dolgon kívül mást nem kell, hogy tudjanak rajta csinálni, így az alábbi beállításokat, korlátozásokat szeretném megcsinálni rajta. A felhasználók távoli asztallal lépnek be.
- Asztali ikonok zárolása (ne lehessen rátenni és letörölni róla semmit)
- Tálca gyorsindító zárolása
- Start menü zárolása
- A fenti 3 hely központi beállítása, tehát csak az lehet pl. a start menüben amit én akarok.
- C: és D: eltüntetése mindenhonnan. Ha létezik olyan megoldás, ami nem csak 1-2 ikont tüntet el, hanem elérhetetlenné teszi ezeket a helyeket és esetleg a rajta található programok mégis futtathatóak, az lenne a legjobb. A sajátgépből el tudom tüntetni, de "C:" a címsorba és megkerültem amit csináltam.
Ezeket egy bizonyos csoporttagsággal rendelkező felhasználókra akarom csak alkalmazni.
Az asztal már úgy ahogy azt teszi amit én akarok. De sem a tálca gyorsindító, sem a start menü nem akar engedelmeskedni.
Próbáltam keresni, de vagy régi leírásokat találtam, vagy olyat ami nem működött. Persze volt amit azt sem tudtam hogy keressem. Mivel én a magyart látom a beállításoknál, keresni pedig angollal kellene. A már megtalált angol leírásnak is néha 10 percekbe tellett megtalálni, hogy mire fordíthatták mire beállítottam.
A megadott csoportra érvényes group policy-val már alkalmazva van egy pár beállítás. Viszont a fenti kérdésekben elakadtam.
Hozzászólások
Ennyire extra amit szeretnék, vagy annyira egyszerű, hogy senki nem írt semmi tippet?
Esetleg már mindenki csak a linux-hoz ért. :)
Local Group policy editorban:
User Configuration, Administrative Templates, Control Panel alatt, továbbá az administrative templatesen belüli Desktop, network satöbbi almappákban tudsz ilyeneket beállítani.
Ezen a részen keresgéltem én is. Még ezen kívül a Start menüs és Windows-összetevők-->Fájlkezelő részben is de nem találtam olyat ami valóban megoldaná azt amit akarok. A legjobb vicc a controlpanel részeinek eltüntetése, amit egy START+R (futtatás) majd control main.cpl és máris beállíthatom az egeret. Vagy elrejtem a C: és D: meghajtókat, erre a címsorba csak be kell írni, hogy C: és Tá-Dám ott is van minden.
Ezeket valami értelmesebb korlátozással gondoltam.
Arról már nem is beszélve, hogy C: és D: teljes meghajtón a biztonságban azt látom, hogy nem lenne szabad írnia a mezei felhasználónak, csak olvasnia, de mégis tud írni.
Applockerbol kell tiltani a programokat es akkor nem lesz megkerulheto...
> Esetleg már mindenki csak a linux-hoz ért. :)
Lássuk be, a HUP-on ez nem is annyira meglepő. :)
Prevent access to drives:
https://msdn.microsoft.com/en-us/library/ms813286.aspx
Mandatory profiles:
http://www.jeroentielen.nl/howto-create-a-mandatory-profile-server-2012/
Az első javaslat annyit csinál amit mondtam.
Idézet:
Ez a házirend-beállítás lehetővé teszi a megadott meghajtók elrejtését a Sajátgépen.
Ez a házirend-beállítás lehetővé teszi a kijelölt merevlemez-meghajtókat jelölő ikonok eltávolítását a Sajátgépből és a Fájlkezelőből. A kijelölt meghajtók betűjelei sem jelennek meg a szabványos Megnyitás párbeszédpanelen.
Ha engedélyezi ezt a házirend-beállítást, jelöljön ki egy vagy több meghajtót a legördülő listában.
Megjegyzés: Ez a házirend-beállítás a meghajtók ikonját távolítja el. A felhasználók ennek ellenére más módszerekkel el tudják érni a meghajtó tartalmát, például úgy, hogy beírják a könyvtár elérési útját a Hálózati meghajtó csatlakoztatása párbeszédpanelen, a Futtatás párbeszédpanelen vagy egy parancssorban.
Ez a házirend-beállítás abban sem akadályozza meg a felhasználókat, hogy más programokkal elérjék ezeket a meghajtókat és azok tartalmát. Valamint abban sem akadályozza meg a felhasználókat, hogy a Lemezkezelés bővítménnyel megtekintsék és módosítsák a meghajtó jellemzőit.
Ennek megfelelően azt teszi amit mondtam. Pl. DoubleCommander-ben is látszik. Viszont MS Office-ban nem, vagy csak trükkel érhető el.
A másodikat megnézem részletesen, adott 1-2 jó tippet így első olvasásra.
Kevered a hide opcioval.
Prevent access to drives from My Computer
User Configuration\Administrative Templates\Windows Components\Windows Explorer
Description
Prevents users from using My Computer to gain access to the content of selected drives.
If you enable this policy, users cannot view the contents of the selected drives in My Computer and Windows Explorer. Also, they cannot use the Run dialog box, the Map Network Drive dialog box, or the Dir command to view the directories on these drives.
Megtaláltam, azt csinálja amit szeretnék, köszi!
Itt volt elbújva:
Felhasználó konfigurációja -> Házirendek -> Felügyeleti sablonok -> Windows összetevők -> Fájlkezelő -> Meghajtókhoz való hozzáférés letiltása a Sajátgépről
Valahogy azt észre sem vettem, pedig párszor egyenként átolvastam mindegyik beállítást. Ezzel kevertem "A megadott meghajtók elrejtése a Sajátgépben". Persze ez is jól jön, hogy ne kattintgasson feleslegesen.
DoubleCommander-ből még mindig megnyitható, még ennek a tiltása folyamatban van. Elvileg ott lenne meghajtó feketelista, de nem működik.
OFF: magyar nyelvű a szerver? Jaj...
ON: ahogy írtam nagyon kevés tudással rendelkezők használnák. Célszerű, hogy magyarul írja ki neki, hogy "ezt nem lehet a kezedre csapok". Azt mondjuk nem értem miért kellett lemagyarosítani a Policy Editor-ban a bejegyzéseket. Így sokkal nehezebb bármit is megtalálni. Főképp, hogy van 1-2 fordítás, amit elég kitalálni mi lehetett előző életében.
User profile-ban lehet beállítani mindenkinek a default nyelvet, csak telepíteni kell a magyar nyelvi csomagot. Attól neked, mint adminnak lehet angol a nyelv, a usernek magyar lesz. Ezt már 2003 szerver óta lehet állítani.
Na ezt nem tudtam. Lehet angol lett volna választva. Viszont ha jól sejtem feltehetem az angol nyelvi csomagot és magamnak beállíthatom azt.
Igen, pontosan. Jelentősen megkönnyíti az életedet, ha bármi probléma merül fel. Angol hibaüzenetekre valamiért könnyebb rákeresni, mint magyarra. Ki tudja miért ;)
Bocs inkább töröltem ,valószínűleg több kárt okozna mit hasznot.
Egyáltalán nem sok. Közvetlenül registry-ben is átírom amit kell. Csak pl. a gyorsindító ikonok "pinned on taskbar" nem csak egy könyvtárban kell hogy legyenek. Registrybe is szerepelnie kell erre most jöttem rá, a fenti leírás alapján. Természetesen a megfelelő könyvtárban meg kell lennie az lnk fájloknak is, ha nincsenek akkor erősen hiányolja.
Group Policy-vel azért látnám célszerűbbnek mert, ha esetleg még jön 1-2 felhasználó akkor csak 2 kattintás lenne alkalmazni rájuk az erényövet.
Amugy piszkitok a registrybe, csak nem közvetlenül, hanem házirendben.
Talán azt is érdemes lenne megvizsgálni, hogy a engedélyezed nekik a távoli bejelentkezést, milyen csoportba kerülnek bele , és annak a engedély rendszerét is átnézni.
"Amugy piszkitok a registrybe, csak nem közvetlenül, hanem házirendben."
OK, csak ha jól gondolom a GP nem fedi le az összes registy beállítást.
Én is erre gondoltam, hogy valami csoporttagság miatt kap teljes jogot. Ezt még kiderítem.
Eddig ahogy néztem jobban tetszik GP-ből írni módosító, törlő, felvevő parancsot a registrybe, csak ennek a csoportnak, mint kitalálni, hogy majd mit csináltam. Itt látom azt a 4-5 registry módosítást amit alkalmazok náluk. Sokkal követhetőbb. Eddig bármit megtudtam csinálni. Csak registry olyan állat, hogy néha élég azt kitalálni hova is írjak és mit, hogy az történjen amit én szeretnék.
Értem én hogy a vi /etc/fstab bonyolult... :D :D :D
"A felhasználók távoli asztallal lépnek be."
Nem opció, hogy RemoteApps-al kiajánlod a kívánt programot?
Közel "normális" gép kellene nekik. Lényegében itt interneteznek, szöveg-szerkesztenek, email-eznek, és használnak még 1-2 programot. Viszont korlátozni kell őket, mert olyanok mint az ovodások, a homokot is megennék a homokozóból, ha nem figyelné őket valaki.
Óvodások már nem esznek homokot. A felsorolt célokra pedig a megoldás valóban a RemoteApps lenne, csak érteni kéne hozzá.
Tegnap biztos a véletlen műve volt, hogy úgy megtudták emelni a vérnyomásom hogy azt is elfelejtettem mit akartam következőnek. A buta embertől nincs is veszélyesebb. Csak az aki azt hiszi, hogy ő az okosabb és a másik a hülye.
RemoteApps, ez nem egyenként a programokat ajánlaná ki? Legalábbis ahogy néztem nekem annak tűnt. Amiket hirtelen találtam abban pl. olyan volt, hogy win7 alatt indított a szerverről egy office-t, ami átjött az már csak a program volt.
Ha ez, akkor nekünk biztos nem ez kell.
Itt mindenki nagyon pro es OP, deal with it :)
Nem pro és nem OP, szerencsére az az ember tudja, hogy van sokminden amit nem nem tud. Akik megemelte a vérnyomásom az inkább ilyen könyvelő féle. De már hozzászoktam és alapból úgy állok hozzá, hogy erre számítok.