Меню Рубрики

Windows steadystate windows 7

SteadyState — изменить тип учетной записи в Windows

При распределении прав доступа в Windows возникла задача изменить тип созданной учетной записи пользователя на тип с ограниченными правами, но почему то вкладка «Обычный доступ»(Windows 7) или «Ограниченная запись» (Windows XP) оказалась закрыта.

Выяснилось что по умолчанию чтобы создать учетку с ограниченными правами, необходимо чтобы уже был пользователь с правами Администратора, кроме самого Администратора.

Но что если у нас один пользователь и нам совершенно не хочется плодить кучу учетных записей в нашей Windows?

Есть решение этой проблеме, называется Windows SteadyState.

Windows SteadyState — бесплатная программа от Microsoft, позволяющая расширенно управлять правами пользователей в системе, имеет большой функционал возможностей.

Но вернемся к нашей проблеме, нам необходимо сделать одного пользователя с «ограниченная запись» или «обычный доступ», для этого создадим еще одну учетную запись с именем Test к примеру с правами администратора, которая позволит выставить вашей учетке ограниченные права. После чего ставим «Ограниченная запись» или «Обычный доступ» в зависимости от версии Windows вашей учетке.

А теперь самое главное как нам удалить нашу запись Test. Для этого нам и пригодится Windows SteadyState.

Заходим в установленный SteadyState по ярлыку на рабочем столе, и видим 2 записи Вашу и Test

Windows steadystate

Заходим в Test (если система спрашивает пароль, оставьте это поле пустым и жмите ОК, так как пароль мы не создавали для этой учетки) и нажимаем Удалить пользователя.

Все, готово, теперь в нашей системе кроме Администратора один пользователь с ограниченными правами.

Программа SteadyState может использоваться не только для этой цели, она имеет большой функционал по разграничению прав доступа, советую полистать по вкладкам SteadyState и посмотреть на что она способна, думаю вы найдете для себя полезные функции.

Посмотреть официальное руководство по программе можно здесь «Руководство Windows SteadyState» на русском языке

Источник

Как воспроизвести ограничения Windows Steady State на компьютерах с Windows 7 средствами GPO. Часть 1

Введение

Относительно недавно я рассказывал о замечательном продукте Windows SteadyState от корпорации Microsoft, который позволяет устанавливать ограничения для компьютеров и пользователей, расположенных в школьных компьютерных классах и библиотеках. Также я в этой статье указывал, что данный продукт поддерживает только операционные системы Windows XP и Windows Vista, то есть, если в вашем компьютерном классе на ученических компьютерах развернуты операционные системы Windows 7, то для управления конфигурацией компьютеров и пользовательских учетных записей Вам нужно будет воспользоваться функционалом групповых политик. В этой статья я расскажу о том, как можно выполнять идентичные ограничения для компьютеров под управлением операционной системы Windows 7, то есть будет рассмотрено множество параметров политик, которые выполняют такие же действия, как и действия, выполняемые средствами продукта Windows SteadyState. Помимо этого, так как предыдущая статья имела обзорный характер, в данной статье будут подробно рассмотрены параметры продукта Windows SteadyState и, соответственно, параметры групповых политик. Также, в связи с тем, что параметров конфигурации пользователей и конфигурации компьютера в продукте Windows SteadyState довольно много, данная статья будет разбита на две части. В первой части я расскажу о параметрах групповых политик, которые относятся к глобальным параметрам компьютера, то есть изменения, которые вносятся в раздел HKEY_LOCAL_MACHINE системного реестра. Во второй части статьи мы с вами рассмотрим параметры групповой политики, при помощи которых вы сможете управлять настройками пользователей, то есть изменения, которые вносятся в раздел HKEY_CURRENT_USER.

Установка ограничений компьютера

Как я уже говорил в предыдущей статье, в состав «Установки ограничений компьютера» входят параметры конфиденциальности, параметры безопасности и прочие параметры. Параметры конфиденциальности предназначены для защиты конфиденциальности всех пользователей общего компьютера, параметры безопасности защищают компьютер от изменений или повреждений, связанных с действиями пользователей, а прочие параметры предназначены для отображения списка имен пользователей на экране приветствия при каждом запуске операционной системы Windows XP. Прежде всего, мы с вами рассмотрим параметры конфиденциальности. В эту группу входят следующие три параметра:

    Не отображать имена пользователей в диалоговом окне «Вход в систему Windows». Так как в учебных заведениях одним компьютером могут пользоваться десятки учеников, хорошим ходом будет отключение отображения имени последнего пользователя, выполнившего вход на экране входа в систему. В операционной системе Windows 7 за этот параметр отвечает политика «Интерактивный вход в систему: не отображать последнее имя пользователя», которую вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть на следующей иллюстрации:

Рис. 1. Отключение отображения имен пользователей на экране входа в систему

Для того чтобы имя последнего пользователя, выполнявшего вход в систему не отображалось, следует включить данную политику безопасности;

  • Запретить вход в систему заблокированных или перемещаемых профилей, которые могут быть найдены на компьютере. Как вы все знаете, после выполнения входа в систему, в операционной системе создается профиль для этого пользователя. Этот параметр предназначен для того чтобы запрещать вход в систему пользователей, у которых не существует профиля;
  • Не кэшировать копии заблокированных или перемещаемых профилей пользователей, ранее вошедших в систему. Используя текущий параметр ограничений компьютера, вы можете существенно повысить конфиденциальность перемещаемых профилей ваших пользователей, тем самым запретив кэшировать данные тех пользователей, которые уже заблокированы. В принципе, в самой оснастке «Редактор локальных объектов групповой политики» вы не сможете найти отдельные параметры, позволяющие обеспечить данную функцию. В этом случае, вам необходимо настроить перемещаемые профили (управление перемещаемыми профилями было рассмотрено в статье «Пользовательские профили и их управление. Часть 2»), а также воспользоваться параметрами политик, которые расположены в узле Конфигурация компьютера\Административные шаблоны\Система\Профили пользователей. Например, используя параметр «Запретить передачу на сервер изменений в перемещаемом профиле», вы можете предотвратить внесение изменений, сделанных в перемещаемом профиле на конкретном компьютере, в копию компьютера на сервере. То есть, включив этот параметр политики, при входе пользователь получит свой перемещаемый профиль, но все изменения сделанные пользователем в своем профиле, не будут внесены в его перемещаемый профиль при выходе из системы.

    • Как я уже упомянул, параметры безопасности продукта Windows SteadyState предназначены для защиты компьютера от изменений и повреждений. Здесь вы можете найти следующие семь параметров:

    • Удалить администраторов с экрана приветствия. До появления операционной системы Windows Vista на экране входа в систему можно было с легкостью найти учетную запись администратора. В таких операционных системах, как Windows Vista и Windows 7 экран входа в систему сделан так, что по умолчанию на нем не отображена учетная запись администратора и, соответственно, нет смысла рассматривать отдельный параметр групповой политики, который отвечал бы за данную опцию;
    • Удалить варианты выключения с экрана приветствия и диалогового окна «Вход в Windows». Эту опцию имеет смысл использовать для того, чтобы ваши пользователи случайно не выключили компьютер из экрана входа в систему. Для того чтобы исключить эти кнопки у пользователей Windows 7, вам нужно в редакторе объектов групповой политики, в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, выбрать параметр политики «Завершение работы: разрешить завершение работы системы без выполнения входа в систему» и установить переключатель на опцию «Отключить». Теперь, для того чтобы выключить компьютер, пользователю необходимо успешно выполнить вход в систему и этот пользователь должен обладать правами на завершение работы системы;
    • Запретить Windows вычислять и сохранять пароли с помощью хэш-значений LAN Manager. При указании этой опции в продукте Windows SteadyState, вы тем самым существенно повышаете безопасность хранения паролей в связи с отключением хэшированной формы механизма шифрования LanMan для всех паролей. Для того чтобы воспользоваться этой опцией на компьютере, с установленной операционной системой Windows 7, вам нужно в диалоговом окне параметра политики «Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля» установить переключатель на опцию «Включен». Этот параметр политики вы можете найти в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, что можно увидеть ниже:

    Рис. 2. Запрещаем ОС вычислять и сохранять пароли с помощью хэш-значений LAN Manager

    Начиная с операционной системы Windows Vista, текущий параметр по умолчанию включен;

  • Не сохранять имена пользователей и пароли, применявшиеся для входа в Windows Live ID или домен. Я думаю, что ни для кого не окажется новостью, что злонамеренными пользователями могут даже посредственные школьники, причем не только в столичных учебных заведениях. И, как многие из вас знают, в операционных системах Windows, диспетчер учетных данных позволяет сохранять локально учетные данные и пароли аккаунтов Windows Live, а также учетные данные доменных пользователей. При помощи этого параметра вы можете запретить локальное сохранение паролей. Для того чтобы запретить диспетчеру учетных данных сохранять пароли пользователей в операционной системе Windows 7 при помощи функционала групповых политик, вам нужно следовать следующим инструкциям. Откройте параметр политики «Сетевой доступ: не разрешать хранение паролей или учетных данных для сетевой проверки подлинности», который расположен в узле Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности и установите переключатель на опцию «Включить»;
  • Запретить пользователям создавать папки и файлы на диске С:\. Во многих учебных программах выделяется по меньшей мере один урок для того, чтобы дети учились создавать файлы и папки и во время проведения урока могут быть созданы десятки папок только одним учеником. Удалять после них весь мусор может быть крайне неудобно, так как компьютеров в классе может быть много, а время на перемену не такое уж и большое, да и помимо чистки компьютеров у учителей есть еще другие обязанности. Этот параметр изменяет список контроля доступа (ACL) в корне системного диска и запрещает пользователям создавать файлы и папки. Для того чтобы установить этот параметр в Windows 7, вам нужно будет вручную изменить список ACL для ваших пользователей;
  • Запретить пользователям открывать документы Microsoft Office из обозревателя Internet Explorer. В целях безопасности, при помощи текущего параметра вы можете запретить своим пользователям открывать файлы Microsoft Office из браузера Internet Explorer. К сожалению, штатными средствами групповых политик вы не можете указать такие настройки, так что для этого вам нужно будет изменить несколько параметров системного реестра, а затем вы можете эти параметры указать в ADMX файле. Для этого, вам нужно в созданном вами ADMX файле, указать для DWORD-параметров BrowserFlags разделов реестра [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.5], [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8] и [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.12] значение 8. В этом случае я указал разделы реестра, значения которых нужно изменить только для запрета открытия файлов электронных таблиц Microsoft Office Excel в браузере Internet Explorer;
  • Запретить запись на USB-накопители. Практически на каждом уроке, каждый ученик норовит вставить в компьютер свой USB-накопитель, чтобы записать себе какие-либо файлы для последующей работы над ними. В некоторых случаях на это можно закрыть глаза, но иногда данную возможность необходимо пресекать сразу и для этого вы можете воспользоваться текущим параметром. Чтобы внести такое же изменение в операционную систему Windows 7, вам нужно в оснастке редактора объектов групповых политик открыть узел Конфигурация компьютера\Административные шаблоны\Система\Доступ к съемным запоминающим устройствам, а затем открыть свойства параметра политики «Съемные диски: запретить запись». В отобразившемся диалоговом окне установите опцию на команду «Включить».

    • Так как группа другие параметры содержит изменения, связанные с экраном приветствия для операционной системы Windows XP, в данной статье не рассматривается текущий параметр.

    Планирование обновлений

    Если у вас в вашем учебном заведении развернут WSUS-сервер, а все клиентские компьютеры входят в домен Active Directory, то можете считать, что у вас отлично спроектирована инфраструктура ваших рабочих мест. В этом случае вам нужно настроить клиентские компьютеры на автоматическую загрузку и установку обновлений непосредственно с сервера обновлений, который у вас развернут на базу WSUS-сервера. В этом случае, вы можете следовать инструкциям, которые я описывал в статье «Настройка клиентских компьютеров WSUS». Если же у вас не развернут WSUS-сервер, то вам следует настроить некоторые параметры групповой политики в оснастке «Редактор управления групповыми политиками», которые расположены в узле Конфигурация компьютера\Политики\Административные шаблоны\Конфигурация Windows\Центр обновления Windows. В этом случае вам следует выполнить следующие действия:

    Рис. 3. Параметры политики, отвечающие за настройку обновлений операционной системы

    1. Откройте политику «Настройка автоматического обновления», установите переключатель на опцию «Включить», в раскрывающемся списке выберите опцию «4 – Автоматическая загрузка и установка по расписанию» и установите в соответствующих полях дни недели и время для установки обновлений по расписанию. Например, ежедневно в 11 часов дня;
    2. Откройте политику «Не отображать параметр «Установить обновления и завершить работу» в диалоговом окне «Завершение работы Windows»» и установите переключатель опции «Включить». Нажмите на кнопку «ОК»;
    3. Откройте политику «Включить уведомления о наличии программ» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК»;
    4. Откройте политику «Включить рекомендуемые обновления через автоматическое обновление» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК»;
    5. Откройте политику «Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи» и установите переключатель на опции «Включить». Нажмите на кнопку «ОК».

    Источник

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Windows startup settings перевод
  • Windows startup settings windows 10
  • Windows starter расширить рабочий стол
  • Windows starter 7 особенности
  • Windows starter 7 описание