Sziasztok!.9
Kérésem a tárgyban, Windows gurukhoz.
Valahogy úgy mint Linux alatt a root beléptetése gui alatt tíltás,
de a felhasználó "su"-zhat ha a helyzet úgy kivánja!
Azért hogy a programok ne rendszergizda joggal fussanak, de az user telepíthessen
minden programot amire szüksége van.
Ez egy diák laptop, ezért kellene hogy a suliban a tanuláshoz szükséges progikat
telepíthesse, de a rendszer biztonsága relatív megmaradjon.
Köszi
- 2302 megtekintés
Hozzászólások
- A hozzászóláshoz be kell jelentkezni
Sziasztok,
Szerintem is jó erre az UAC,de kiegészíteném azzal, hogy 2 user lenne célszerű: Egy rendszergazda, és egy hagyományos. A gyerkőc használja a hagyományost, és rendszergazdával authentikál UAC kérés esetén.
Szépen működik, és relatíve kényelmes is az UAC jóvoltából :)
A másik lehetőség, hogy UAC-t kihagyva rendszergazda alól telepítget, de ez már ízlés dolga :)
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
Elvileg igen, gyakorlatilag vannak olyan frissítések amik nem mennek fel simple user alól hitelesítéssel csak ha a rendszergizda lép be. sajnos.
- A hozzászóláshoz be kell jelentkezni
Alapértelmezetten az összes felhasználó, UAC nélkül telepítheti a frissítéseket.
Ez alól egy kivétel van: a felhasználói beavatkozást igénylő frissítéseknél UAC-al meg kell erősítened a beállítást.
De ezek mind opcionális frissítések.
- A hozzászóláshoz be kell jelentkezni
nekem a java update kb minden harmadik nem hajlandó felmenni csak rendszergazda fiókból (sima nem rendszergazdai jogú fiókból UAC-ozással nem: mezeu user + UACba rendszergazada username+pwd). hiába dobja fel az UAC ablakot, hiába kap jó hitelesítési adatokat, vannak bizonyos frissítések amiknek ez nem elég, egyszerűen terminál. Ezek nem windows update-ek hanem 3rd party cuccok. Főleg az oracle java update szokott elhasalni. Van amikor felmegy, de rendszeresen és visszatérően van hogy nem.
- A hozzászóláshoz be kell jelentkezni
Szia,
UAC helyett "run as"-al próbáltad már? Csak, mert az tudtommal elérhetővé tesz néhány dolgot, de csak elevál, de nem ad meg mindent (például fs jogosultságot, és hasonlókat nem feltétlenül tesz lehetővé, de fixme :) )...
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
De milyen "rendszergazda"? Nincs olyan, hogy "root", csak olyan, hogy ki a rendszergazdák csoport tagja.
Ha megnézel egy alap W7 telepítést az úgy néz ki, hogy az Administrators csoportnak két tagja van: a saját usered és az Administrator. Viszont az Administrator alapból le van tiltva, sőt, telepítéskor sem adsz meg (sőt, nem tudsz megadni) neki jelszót.
Mellesleg, ha sima userrel akarsz valami olyat csinálni, amihez elevált jogok kellenek, akkor meg úgy is feldob egy login ablakot, hogy adjál be egy rendszergazdai jogokkal rendelkező usert.
(Egyébként ez is megoldás tud lenni, bár szvsz kényelmesebb csak egy igen-nem-et nyomkodni. Mindenesetre a kérdező kérdése OOTB megoldott 2006 óta.)
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Miért kell a két felhasználó?
Ha a "rendszergazda" felhasználóval lép be 0-24, akkor is csak akkor kapnak emelt jogkört az alkalmazások, ha az UAC-on keresztül engedélyt kap rá, nem?
Régen (pre-Vista) nyilván hasznos volt ez így, de ma van ennek ténylegesen értelme?
--
blogom
- A hozzászóláshoz be kell jelentkezni
Egyetlen indoka, - amit alkalmazok is a gyakorlatban, - hogy a még rendszergazda user-t beléteted a felhasználói csoportba, a rendszergazda csoportból meg erőteljesen törlöd. A valódi felhasználó, (meg a többi script, futatható kód még UAC-al, kérdezéssel sem telepíthessen, csak a valódi rendszergazda. - Kedvenceim a böngésző-pluginek és hasonló extension-ok kérdezés nélküli frissítődése. Még akkor is, amikor ilyenként valódi "usermod" van és ezzel együtt a policy-ben rögzítve van a telepítéshez a rendszegazda privilégiuma. Vagy mégegy pl. a Chrome telepítődése minden restriktív szándék ellenére.
Csak azt akarom ezzel, nem mindenható az UAC és nem minden esetben véd meg a rosszindulató kódok településétől.
- A hozzászóláshoz be kell jelentkezni
Szia,
A két felhasználó azért kell, hogy tényleg ne legyen lehetősége olyat tenni, amit nem akar. A második felhasználó jogkör eleválásra, vagy opcionálisan alternatív futattásra ( csodásan megírt alkalmazások esetén) lehet hasznos.
Tény, "root" nincs windowson, de mégsem előnyös, ha egy alkalmazás egy lépésben eljut a "system" jogkörig, nem? :) (Oks, ez sarkítás, de talán megadja a lényegét :) )
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
Én ezt úgy oldottam meg, hogy az alábbi oldalt követve elrejtettem a usert a logon képernyőn de ennek ellenére engedélyezve van.
Hide user from logon screen
Természetesen nagyon kell figyelni, hogy más felhasználó ne kapjon Admin jogkört.
Ezen felül, Windows alatt ökölszabály... Az UAC a barátod!
"Értem én, hogy villanyos autó, de mi hajtja?"
- A hozzászóláshoz be kell jelentkezni
Nem kell két felhasználó, erre van Vista óta az UAC, alapból be van kapcsolva minden Windowsban. Amikor valami olyan helyre akar nyúlni, akkor a Windows feldob egy ablakot, hogy valami most emelt jogokat kér.
Megnyitod a control panelt, keresőbe UAC, change user account control settings, és itt felhúzod a csúszkát az "Always notify"-re:
http://res2.windows.microsoft.com/resbox/en/windows%207/main/11accf4f-c…
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Nem hogy nem kell, hanem ellenjavalt a két felhasználó, hiszen a magasabb jogkörrel végzett felhasználóiprofil-szintű módosítások a magasabb jogosultságú felhasználó profiljában hajtódnak végre, és a felhasználó csak bámul, hogy telepített valamit, de nyoma sincsen...
Ellenben egy másik rendszergazda felhasználóra mégis szükség van: az, akinek van joga módosítani az UAC beállításait...
:)
- A hozzászóláshoz be kell jelentkezni
Szia,
Amennyiben egy OS-en a profil szintű módosítások elevált jogkört követelnek meg nem domain környezetben, ott valami el van szúrva, nem? Tudtommal, a windows nem ezek közé tartozik.
De ajánlhatnám akkor erre az esetre a local GPO-kat, kíválóan áthidalják ezt a problémát, bár, mint említettem, tudtommal ilyen nem fordulhat elő _nem_-domain környezetben. Vagy, tudnál ellenpéldát említeni?
Üdv,
LuiseX
Szerk.: Mellékesen, ha mégis létezne ilyen módon működő alkalmazás, az MS-nél létezik erre egy jól konfigurálható,szerintem flexibilis eszköz: http://technet.microsoft.com/en-us/library/cc771525.aspx
- A hozzászóláshoz be kell jelentkezni
Arról írtam, hogy ha a sima felhasználó UAC-vel egy magasabb jogosultságú felhasználó jogkörét felhasználva telepít egy programot, az nem biztos, hogy a várt eredményt hozza. Ezért vagy rendszergazda + UAC, vagy sima felhasználó + rendszergazda + kikapcsolt UAC + némi runas való egy otthoni felhasználásra szánt windowsos gépre, ahogy már írták.
:)
- A hozzászóláshoz be kell jelentkezni
Hali!
Nem az a cél hogy ne tudjon telepíteni, hanem ne tudjon rendszergazda jogú userrel belépni.
Az a bizonyos amivel nem lehet belépni, az lenne a jó. :)
De itt már úgy tűnik a microsoft kiherélte a rendszert. :)
Mert jelszót se lehet neki adni, mint ahogy írtad.
(Nem értek windowshoz, rád támaszkodva írom! :) )
"Rákényszeríti" (pl: kényelemből) a felhasználót, hogy rendszergizda csoport userrel használja a gépet.
Mert nem lehet unixlike "su" vagy "sudo" szerű módszerrel indokolt esetben, pl telepítés, tevékenykedni. De minden mást csak korlátozott user joggal működjön.
Ez a security-nek egy pofon a microsoft-tól!
Ezek után hiába minden security utility, ha az "advanced" user rendszergazda joggal szétbarmolja a rendszert.
Vagy nem jól látom?
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)
- A hozzászóláshoz be kell jelentkezni
Te mikor láttál utoljára Windowst?
Pf.
--
blogom
- A hozzászóláshoz be kell jelentkezni
Réges rég.....
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)
- A hozzászóláshoz be kell jelentkezni
Két lehetőséged van, de ezt már leírták feljebb.
1. User csak Users tagja legyen. Bármiféle telepítéshez Admin jelszó kell, azt a kontót pedig aktiválni kell.
2. UAC és a user fizet azért hogy a ga*ét leszedd.
- A hozzászóláshoz be kell jelentkezni
"(Nem értek windowshoz, rád támaszkodva írom! :) )"
Akkor ne terjessz fassagokat.
"Mert nem lehet unixlike "su" vagy "sudo" szerű módszerrel indokolt esetben, pl telepítés, tevékenykedni. De minden mást csak korlátozott user joggal működjön."
runas meg smafu? Vagy a futtatas mint..., ami minden alkalmazasnal ott van, ha nem rendszergazdai userrel vagy belepve? Kulonbseg az, hogy az MS kidolgozott ra egy kenyelmesebb megoldast.
"Ezek után hiába minden security utility, ha az "advanced" user rendszergazda joggal szétbarmolja a rendszert."
Nem, de ne legyel write only, fenntebb leirtam.
"Vagy nem jól látom?"
En csak azt latom, hogy tolod itt a linux, linux uber allest fogalmatlanul.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Ja még annyi hogy hiába a rendszergazda csoport user, azzal be lehet lépni!
Ehhez önmérséklet kell az usuertől hogy ne használja. :)
Ami általában nincs.
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)
- A hozzászóláshoz be kell jelentkezni
Hogy lehet egy korlátozott user, akár telepítéskor, rendszergazda jogú, ha nincs rendszer gazda? :)
Telepítés folyamán az első user mindjárt rg jogú és be tud lépni bárki ha ismeri a jelszót.
Oké hogy "csúszka" és nem jelez a rendszer, de így akármi, egy trójai-, virus-program is feltelepülhet suttyomban. :)
Nem jobb ha jelez a rendszer és beavatkozás nélkül(most jóértelemben vett beavatkozás)
nincs település, vagy más rendszergazda jogú esemény?
Tudom ne irjak fasságokat!
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)
- A hozzászóláshoz be kell jelentkezni
Ne, ne írj, mert két nap alatt képtelen voltál kipróbálni.
- A hozzászóláshoz be kell jelentkezni
Ha nincs rencergizda milyen jelszót ír be és mondjuk kell az rg jog.
http://www.softwareonline.hu/art2860/rendszergazdai_feladatok_ellatasa_…
Ki vagy mi az "as" ha nincs rendszergizda?
............
Tegnap nem csináltam semmit, ma folytatom, mert nem lettem kész vele! :)
- A hozzászóláshoz be kell jelentkezni
Mondjuk, ha picit képes lennél elszakadni ettől a "root" fasságtól, akkor már előrébb lennénk.
Windowson NINCS dedikált rendszergazda. Olyan van, hogy egy program emelt jogkörökkel fut-e (tehát végrehajthat "rendszergazdai" beállításokat), vagy normál userként. Ez nem az usertől függ, hanem attól, hogyan fut a program.
Ha nincs "rendszergazda", akkor a program kér jogot a rendszergazdai tevékenység végrehajtásához, ha nincs neki. A fenti linked kb. a Vista óta aktualitását vesztette. De ezt leírtuk fent.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Windowson NINCS dedikált rendszergazda
Akkor ez szerinted micsoda?
Enable and Disable the Built-in Administrator Account: In Windows® 7, the built-in administrator account is disabled by default. In previous versions of Windows, an Administrator account was automatically created during Out-of-Box-Experience (OOBE) with a blank password.
- A hozzászóláshoz be kell jelentkezni
Helyénvalóbb lett volna ha az Administrators-t mutatod, az ugyanis aktív OOTB.
- A hozzászóláshoz be kell jelentkezni
Sziasztok,
Bocs, hogy beleugatok, de az Administrator user, ami létrejön automatikusan, nem tud többet, mint hogy tagja az Administrators csoportnak. Nincs Unixnak megfelelően 0-ás UID-ja, vagy hasonló extrái (bár emlékeim szerint az SID-je fix) , ezért nem is lehetetlen pótolni. Például láttam már olyan vállalati környezetet, ahol az első lépés az Administrator jogait lendületből lenullázni, mezei userré, és helyette létrehozni egy alternatívát, gondoldolkozás nélkül...
Szóval, maga a fiók jelenléte csak egy OOTB konfig, nem szentírás.
Ugyanaz a célja, mint annak, hogy az _első_ felhasználó automatikusan az Administrators csoport tagja lesz (kényelem a végfelhasználóknak).
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
Ez mar komolyan olyan, mint a konteos agyzuhantak hasonlatai, hogy "latom, hogy az Orion hasonloan nez ki, mint az Apollo, a gagyi NASA visszater a hatvanas evekhez!!!1111".
Helyes valaszt leirtak egyel feletttem.
----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™
- A hozzászóláshoz be kell jelentkezni
Ez a rencergizdázás olyan primitív, nem lehetne eltekinteni tőle?
- A hozzászóláshoz be kell jelentkezni