FAQ

• Общие вопросы
• Софт
• Железо
• Сеть и Доступ

Сеть и Доступ

На этой странице:

• Запрет пользователю логинится локально (XP)
• Запрет пользователю логинится по сети (XP)
• Как настроить интернет-протокол IPv6 (XP)
• Как ограничить пользователя в правах доступа (XP)
• Как запретить в «Internet Explorer» доступ к сайтам

Запрет пользователю логинится локально

Это может понадобиться, например, для пользователей которые пользуются ресурсами Вашего компьютера только по сети. Что бы запретить такому пользователю логиниться локально, запустите апплет «Локальная политика безопасности» (Local Security Policy)

«Панель управления» (Control panel) —> Администрирование (Administrative Tools),

и перейдите в рездел «Локальные политики» (Local Polices) —> «Назначение прав пользователя» (User Right Assignment). Найдите здесь пункт «Отклонить локальный вход» (Deny logon locally), дважды кликните на нём, и с помощью кнопки «Добавить пользователя или группу...» (Add User or Group...) добавьте пользователей, которым требуется запретить логинится локально. Как обычно, пользователя можно ввести либо вручную (Имя компьютера\Имя пользователя), либо выбрать из списка, для чего требуется нажать на кнопку «Дополнительно» (Advanced), и в изменившемся окне на кнопку «Поиск» (Find).

Наверх

Запрет пользователю логинится по сети

Запустите апплет «Локальная политика безопасности» (Local Security Policy)

«Панель управления» (Control panel) —> Администрирование (Administrative Tools),

и перейдите в рездел «Локальные политики» (Local Polices) —> «Назначение прав пользователя» (User Right Assignment). Найдите здесь пункт «Доступ к компьютеру из сети» (Access this computer from the network), дважды кликните по нему, и получите возможность удалить группу, члены которой не должны иметь доступ к компьютеру из сети. Если Вам понадобится разрешить доступ члену удалённой группы, его придётся добавлять индивидуально, с помощью кнопки «Добавить пользователя или группу...» (Add User or Group...). Как обычно, пользователя можно ввести либо вручную (Имя компьютера\Имя пользователя), либо выбрать из списка, для чего требуется нажать на кнопку «Дополнительно» (Advanced), и в изменившемся окне на кнопку «Поиск» (Find).

Наверх

Как настроить интернет-протокол IPv6

В «Windows XP» уже встроена поддержка этого протокола, но она нигде не отражена в интерфейсе. Для установки IPv6 достаточно набрать в командной строке

«install ipv6» (без кавычек).

На текущие настройки протокола TCP/IP это не повлияет. Настройка IPv6 производится из командной строки, что бы узнать про это подробнее, просто наберите «ipv6 /?» (без кавычек).

Наверх

Как ограничить пользователя в правах доступа

Если у Вас «Windows XP» и стоит она на NTFS, то ограничить запуск любых программ можно, настроив «Локальную политику безопасности».

Для этого:

• Открываете:

  (Панель управления —> Администрирование —> Локальная политика безопасности —> Политики ограниченного использования программ —> Дополнительные правила).

• Щёлкаете правой кнопкой мыши и выбираете пункт «Создать правило для хеша». У этого правила максимальный приоритет и оно будет действовать на файл вне зависимости от его перемещений из каталога в каталог.

• В открывшемся окне нажимаете кнопку «Обзор» и выбираете исполняемый файл программы, запуск которой хотите запретить.

• Для пункта «Безопасность» задаёте значение «Не разрешено» и закрываете окно.

• В элементе «Принудительный», который находится в «Политике ограниченного использования программ» указываете, что ограничения должны применяться для всех пользователей, кроме локальных администраторов.

Аналогичные настройки есть в «Групповой политике безопасности»:

Откройте: (Меню «Пуск» —> Выполнить), наберите «gpedit.msc» (без кавычек), откроется окно, далее:

(Конфигурация пользователя —> Административные шаблоны —> Система —> «Выполнять только разрешённые приложения для Windows»),

чтобы пользователь мог запускать только разрешённые программы. Или ещё один параметр там же «Не запускать указанные приложения для Windows», чтобы пользователь не мог запустить запрещённые программы.

Имейте ввиду, что эта политика ограничивает только выполнение программ, запускаемых процессом «Проводника». Она не запрещает выполнять другие программы, такие, как «Диспетчер задач», которые запускаются с помощью системного процесса или с помощью иных процессов. Кроме того, если пользователям разрешен доступ к окну командной строки («CMD.EXE»), то эта политика не запрещает им запускать из окна командной строки те программы, которые им не разрешено запускать с помощью «Проводника», если только не запретить им запуск, соответственно, и «Диспетчера задач» и «CMD.EXE».

Или можно ограничить запуск программ с помощью реестра: см. здесь или здесь.

Как блокировать «Windows Installer»: см. здесь.

Чтобы запретить доступ к любой папке или файлу, щёлкните по этой папке или файлу правой кнопкой мыши, в выпавшем контекстном меню выберите пункт «Свойства», в открывшемся диалоговом окне перейдите на вкладку «Безопасность». В верхнем окне этой вкладки выделите учётную запись или группу пользователей, которых хотите ограничить в правах доступа (если их там нет, то нажмите кнопку «Добавить» и введите имя нужной учётной записи или группы, после чего нажмите кнопку «Проверить имена») и в нижнем окне поставьте флажок напротив требуемого вида доступа (чтение, запись и т.д.). Нажмите кнопку «Применить».

Если Вы открыли «Свойства» папки или файла и не обнаружили вкладку «Безопасность», то нужно открыть: Панель управления —> Свойства папки —> вкладка «Вид» и скинуть флажок с пункта «Использовать простой общий доступ к файлам (рекомендуется)». После этого в свойствах всех папок появится вкладка «Безопасность».

Наверх

Как запретить в «Internet Explorer» доступ к сайтам

Откройте:

(Панель управления —> Свойства обозревателя —> вкладка «Содержание» —> Ограничение доступа —> кнопка «Включить» —> вкладка «Разрешённые узлы»)

Введите адрес сайта и нажмите кнопку «Никогда». В этом же диалоговом окне перейдите на вкладку «Общие» и установите пароль, чтобы запретить свободный доступ к этому диалоговому окну.

Правда, это ограничение на доступ к сайтам можно отменить через реестр, так что придётся ещё блокировать программы для редактирования реестра, что, по моему, нереально сделать в силу многочисленности подобных программ. В этом случае придётся вообще ограничить запуск всех программ, за исключением списка разрешённых, в котором должен присутствовать какой-нибудь редактор реестра, например, «RegEdit», доступ к которому придётся блокировать уже при помощи сторонних программ, например «FolderGuard». Если у Вас «Windows XP» и файловая система «NTFS», то ограничить запуск программ удобнее средствами самой операционной системы.

Нестандартный способ

В файл [C:\WINDOWS\system32\drivers\etc\hosts] (для ОС семейства NT) или [C:\WINDOWS\hosts] (для ОС семейства 9x,Me) надо добавить строчку вида:

xxx.xxx.xxx.xxx www.mysite.ru

Суть в чём: при наборе в адресной строке адреса сайта «http://www.mysite.ru/» броузер сначала обращается к этому файлу «Hosts», который предназначен для кэширования IP (такой локальный DNS-сервер) и обнаружив в нём эту запись пытается соедииться с этим сайтом (сервером) не по реальному IP, а по нашему левому (несуществующему) - «xxx.xxx.xxx.xxx» и, разумеется, выдаёт ошибку. Вместо иксов также можно ввести реальный IP другого сайта (сервера).

Недостаток этого метода в том, что шаловливый юзер, которого Вы хотите обмануть, может быть в курсе этой хитрости. Во-первых, он может подредактировать этот файл. В этом случае Вам придётся закрыть доступ к нему (в XP на NTFS это легко сделать средствами самой ОС, а в 9x,Me - при помощи специальных программ, например «FolderGuard»). Во-вторых, он может набрать в адресной строке не буквенное обозначение сайта, а сразу его IP, тогда браузер не будет обращаться к файлу «Hosts», а сразу соединится с сайтом (сервером).

Несомненное достоинство этого метода в том, что он действует на все программы, которые предназначены для работы в интернет по протоколам HTTP и FTP, так как по умолчанию все они используют файл «Hosts» и кэшированные в нём IP.