windows 8.1 default user(rendszerdizda) belépés tiltás

Microsoft Windows

Sziasztok!.9

Kérésem a tárgyban, Windows gurukhoz.
Valahogy úgy mint Linux alatt a root beléptetése gui alatt tíltás,
de a felhasználó "su"-zhat ha a helyzet úgy kivánja!
Azért hogy a programok ne rendszergizda joggal fussanak, de az user telepíthessen
minden programot amire szüksége van.
Ez egy diák laptop, ezért kellene hogy a suliban a tanuláshoz szükséges progikat
telepíthesse, de a rendszer biztonsága relatív megmaradjon.

Köszi

  • 2302 megtekintés

Sziasztok,
Szerintem is jó erre az UAC,de kiegészíteném azzal, hogy 2 user lenne célszerű: Egy rendszergazda, és egy hagyományos. A gyerkőc használja a hagyományost, és rendszergazdával authentikál UAC kérés esetén.
Szépen működik, és relatíve kényelmes is az UAC jóvoltából :)
A másik lehetőség, hogy UAC-t kihagyva rendszergazda alól telepítget, de ez már ízlés dolga :)
Üdv,
LuiseX

nekem a java update kb minden harmadik nem hajlandó felmenni csak rendszergazda fiókból (sima nem rendszergazdai jogú fiókból UAC-ozással nem: mezeu user + UACba rendszergazada username+pwd). hiába dobja fel az UAC ablakot, hiába kap jó hitelesítési adatokat, vannak bizonyos frissítések amiknek ez nem elég, egyszerűen terminál. Ezek nem windows update-ek hanem 3rd party cuccok. Főleg az oracle java update szokott elhasalni. Van amikor felmegy, de rendszeresen és visszatérően van hogy nem.

De milyen "rendszergazda"? Nincs olyan, hogy "root", csak olyan, hogy ki a rendszergazdák csoport tagja.

Ha megnézel egy alap W7 telepítést az úgy néz ki, hogy az Administrators csoportnak két tagja van: a saját usered és az Administrator. Viszont az Administrator alapból le van tiltva, sőt, telepítéskor sem adsz meg (sőt, nem tudsz megadni) neki jelszót.

Mellesleg, ha sima userrel akarsz valami olyat csinálni, amihez elevált jogok kellenek, akkor meg úgy is feldob egy login ablakot, hogy adjál be egy rendszergazdai jogokkal rendelkező usert.

(Egyébként ez is megoldás tud lenni, bár szvsz kényelmesebb csak egy igen-nem-et nyomkodni. Mindenesetre a kérdező kérdése OOTB megoldott 2006 óta.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Miért kell a két felhasználó?
Ha a "rendszergazda" felhasználóval lép be 0-24, akkor is csak akkor kapnak emelt jogkört az alkalmazások, ha az UAC-on keresztül engedélyt kap rá, nem?

Régen (pre-Vista) nyilván hasznos volt ez így, de ma van ennek ténylegesen értelme?
--
blogom

Egyetlen indoka, - amit alkalmazok is a gyakorlatban, - hogy a még rendszergazda user-t beléteted a felhasználói csoportba, a rendszergazda csoportból meg erőteljesen törlöd. A valódi felhasználó, (meg a többi script, futatható kód még UAC-al, kérdezéssel sem telepíthessen, csak a valódi rendszergazda. - Kedvenceim a böngésző-pluginek és hasonló extension-ok kérdezés nélküli frissítődése. Még akkor is, amikor ilyenként valódi "usermod" van és ezzel együtt a policy-ben rögzítve van a telepítéshez a rendszegazda privilégiuma. Vagy mégegy pl. a Chrome telepítődése minden restriktív szándék ellenére.

Csak azt akarom ezzel, nem mindenható az UAC és nem minden esetben véd meg a rosszindulató kódok településétől.

Szia,
A két felhasználó azért kell, hogy tényleg ne legyen lehetősége olyat tenni, amit nem akar. A második felhasználó jogkör eleválásra, vagy opcionálisan alternatív futattásra ( csodásan megírt alkalmazások esetén) lehet hasznos.
Tény, "root" nincs windowson, de mégsem előnyös, ha egy alkalmazás egy lépésben eljut a "system" jogkörig, nem? :) (Oks, ez sarkítás, de talán megadja a lényegét :) )
Üdv,
LuiseX

( agostonl | 2014. 12. 06., szo – 10:13 )

Én ezt úgy oldottam meg, hogy az alábbi oldalt követve elrejtettem a usert a logon képernyőn de ennek ellenére engedélyezve van.
Hide user from logon screen
Természetesen nagyon kell figyelni, hogy más felhasználó ne kapjon Admin jogkört.
Ezen felül, Windows alatt ökölszabály... Az UAC a barátod!

"Értem én, hogy villanyos autó, de mi hajtja?"

( saxus | 2014. 12. 06., szo – 16:54 )

Nem kell két felhasználó, erre van Vista óta az UAC, alapból be van kapcsolva minden Windowsban. Amikor valami olyan helyre akar nyúlni, akkor a Windows feldob egy ablakot, hogy valami most emelt jogokat kér.

Megnyitod a control panelt, keresőbe UAC, change user account control settings, és itt felhúzod a csúszkát az "Always notify"-re:

http://res2.windows.microsoft.com/resbox/en/windows%207/main/11accf4f-c…

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem hogy nem kell, hanem ellenjavalt a két felhasználó, hiszen a magasabb jogkörrel végzett felhasználóiprofil-szintű módosítások a magasabb jogosultságú felhasználó profiljában hajtódnak végre, és a felhasználó csak bámul, hogy telepített valamit, de nyoma sincsen...

Ellenben egy másik rendszergazda felhasználóra mégis szükség van: az, akinek van joga módosítani az UAC beállításait...

:)

Szia,
Amennyiben egy OS-en a profil szintű módosítások elevált jogkört követelnek meg nem domain környezetben, ott valami el van szúrva, nem? Tudtommal, a windows nem ezek közé tartozik.
De ajánlhatnám akkor erre az esetre a local GPO-kat, kíválóan áthidalják ezt a problémát, bár, mint említettem, tudtommal ilyen nem fordulhat elő _nem_-domain környezetben. Vagy, tudnál ellenpéldát említeni?
Üdv,
LuiseX
Szerk.: Mellékesen, ha mégis létezne ilyen módon működő alkalmazás, az MS-nél létezik erre egy jól konfigurálható,szerintem flexibilis eszköz: http://technet.microsoft.com/en-us/library/cc771525.aspx

Arról írtam, hogy ha a sima felhasználó UAC-vel egy magasabb jogosultságú felhasználó jogkörét felhasználva telepít egy programot, az nem biztos, hogy a várt eredményt hozza. Ezért vagy rendszergazda + UAC, vagy sima felhasználó + rendszergazda + kikapcsolt UAC + némi runas való egy otthoni felhasználásra szánt windowsos gépre, ahogy már írták.

:)

( sany | 2014. 12. 07., v – 14:55 )

Hali!

Nem az a cél hogy ne tudjon telepíteni, hanem ne tudjon rendszergazda jogú userrel belépni.
Az a bizonyos amivel nem lehet belépni, az lenne a jó. :)
De itt már úgy tűnik a microsoft kiherélte a rendszert. :)
Mert jelszót se lehet neki adni, mint ahogy írtad.
(Nem értek windowshoz, rád támaszkodva írom! :) )

"Rákényszeríti" (pl: kényelemből) a felhasználót, hogy rendszergizda csoport userrel használja a gépet.
Mert nem lehet unixlike "su" vagy "sudo" szerű módszerrel indokolt esetben, pl telepítés, tevékenykedni. De minden mást csak korlátozott user joggal működjön.
Ez a security-nek egy pofon a microsoft-tól!

Ezek után hiába minden security utility, ha az "advanced" user rendszergazda joggal szétbarmolja a rendszert.
Vagy nem jól látom?

............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)

"(Nem értek windowshoz, rád támaszkodva írom! :) )"

Akkor ne terjessz fassagokat.

"Mert nem lehet unixlike "su" vagy "sudo" szerű módszerrel indokolt esetben, pl telepítés, tevékenykedni. De minden mást csak korlátozott user joggal működjön."

runas meg smafu? Vagy a futtatas mint..., ami minden alkalmazasnal ott van, ha nem rendszergazdai userrel vagy belepve? Kulonbseg az, hogy az MS kidolgozott ra egy kenyelmesebb megoldast.

"Ezek után hiába minden security utility, ha az "advanced" user rendszergazda joggal szétbarmolja a rendszert."

Nem, de ne legyel write only, fenntebb leirtam.

"Vagy nem jól látom?"

En csak azt latom, hogy tolod itt a linux, linux uber allest fogalmatlanul.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

( sany | 2014. 12. 07., v – 15:02 )

Ja még annyi hogy hiába a rendszergazda csoport user, azzal be lehet lépni!
Ehhez önmérséklet kell az usuertől hogy ne használja. :)
Ami általában nincs.
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)

( sany | 2014. 12. 07., v – 21:51 )

Hogy lehet egy korlátozott user, akár telepítéskor, rendszergazda jogú, ha nincs rendszer gazda? :)
Telepítés folyamán az első user mindjárt rg jogú és be tud lépni bárki ha ismeri a jelszót.

Oké hogy "csúszka" és nem jelez a rendszer, de így akármi, egy trójai-, virus-program is feltelepülhet suttyomban. :)
Nem jobb ha jelez a rendszer és beavatkozás nélkül(most jóértelemben vett beavatkozás)
nincs település, vagy más rendszergazda jogú esemény?

Tudom ne irjak fasságokat!

............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)

Mondjuk, ha picit képes lennél elszakadni ettől a "root" fasságtól, akkor már előrébb lennénk.

Windowson NINCS dedikált rendszergazda. Olyan van, hogy egy program emelt jogkörökkel fut-e (tehát végrehajthat "rendszergazdai" beállításokat), vagy normál userként. Ez nem az usertől függ, hanem attól, hogyan fut a program.

Ha nincs "rendszergazda", akkor a program kér jogot a rendszergazdai tevékenység végrehajtásához, ha nincs neki. A fenti linked kb. a Vista óta aktualitását vesztette. De ezt leírtuk fent.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Windowson NINCS dedikált rendszergazda
Akkor ez szerinted micsoda?

Enable and Disable the Built-in Administrator Account: In Windows® 7, the built-in administrator account is disabled by default. In previous versions of Windows, an Administrator account was automatically created during Out-of-Box-Experience (OOBE) with a blank password.

Sziasztok,
Bocs, hogy beleugatok, de az Administrator user, ami létrejön automatikusan, nem tud többet, mint hogy tagja az Administrators csoportnak. Nincs Unixnak megfelelően 0-ás UID-ja, vagy hasonló extrái (bár emlékeim szerint az SID-je fix) , ezért nem is lehetetlen pótolni. Például láttam már olyan vállalati környezetet, ahol az első lépés az Administrator jogait lendületből lenullázni, mezei userré, és helyette létrehozni egy alternatívát, gondoldolkozás nélkül...
Szóval, maga a fiók jelenléte csak egy OOTB konfig, nem szentírás.
Ugyanaz a célja, mint annak, hogy az _első_ felhasználó automatikusan az Administrators csoport tagja lesz (kényelem a végfelhasználóknak).
Üdv,
LuiseX