Как ограничить права пользователя в windows 7
Перейти к содержимому

Как ограничить права пользователя в windows 7

  • автор:

Как правильно настроить учётные записи нескольких пользователей Windows

Windows – многопользовательская система. Компьютер с Windows можно настроить таким образом, чтобы несколько человек, например, в семье, школе или клубе, имели свои учетные записи. Приложение можно использовать совместно, например, базу данных запчастей в компании, или установить только для одной учетной записи, например, игру.

В зависимости от того, используется ли ПК разными людьми или всегда одними и теми же людьми, вы можете установить, будут ли сохраненные данные защищены от доступа других пользователей или будут доступны всем без ограничений.

Кроме того, Windows предлагает множество механизмов безопасности, которые особенно полезны, когда компьютер используется детьми без присмотра или в школах.

Например, можно запретить посторонним лицам изменять системные настройки, вносить изменения в реестр, устанавливать или удалять программы и многое другое. Таким образом, администратор может предотвратить вывод компьютера из строя пользователем и необходимость повторной настройки.

В этой статье мы покажем вам, как настроить нескольких пользователей, защитить их данные и приложения и предотвратить манипуляции с Windows.

Требуются права администратора

Для настройки функций защиты необходимы права администратора. Windows автоматически предоставляет роль администратора пользователю, устанавливающему операционную систему. Администратор может настроить дополнительных пользователей в системе, но Windows изначально делает их стандартными пользователями. Эти пользователи имеют ограниченные права и не имеют доступа ко многим системным инструментам.

Вы можете добавить пользователей или учетные записи пользователей в «Параметрах» Windows, которые вы можете найти в меню «Пуск». Нажмите Учётные записиДругие пользователиДобавить учетную запись.

Кнопка для добавления учетных записей пользователей Windows

Windows предложит вам определить новую учетную запись Microsoft. Вы можете, но не обязаны. Также можно настроить локальную учётную запись. Для этого нажмите ссылку «Я не знаю данные для входа этого человека» в окне «Как этот человек входит в систему?». В следующем окне вы найдёте ссылку «Добавить пользователя без учетной записи Microsoft». Теперь дважды введите имя пользователя и пароль, выберите три контрольных вопроса и заполните соответствующие ответы. После нажатия «Далее» и, возможно, подтверждения запроса безопасности Windows создаст учетную запись для обычного пользователя.

Создание дополнительных пользователей имеет смысл, если за компьютером всегда работают одни и те же люди. Если пользователи часто меняются, лучше настроить гостевую учетную запись, доступную всем. Среди прочего, её пользователям не разрешается устанавливать какие-либо программы, изменять системные параметры и, конечно же, добавлять, изменять или удалять любые другие учётные записи.

Есть одно препятствие: начиная с Windows 10 операционная система официально не поддерживает гостевые учетные записи. Тем не менее гостевая учетная запись включена в Windows 10 и 11, но её необходимо сначала активировать (см. следующие два раздела).

Гостевая учетная запись для смены пользователей

В Windows 11 Pro создайте новую локальную учётную запись, как описано выше. Вы можете свободно выбирать имя пользователя, исключая только guest – эти имена зарезервированы Windows. Два поля для настройки пароля лучше оставить пустыми, чтобы гостевые пользователи могли входить в систему без пароля. После нажатия «Далее» и подтверждения запроса безопасности Windows создаст учетную запись.

Теперь ещё необходимо назначить новой учетной записи ограниченные права гостевой учетной записи. Для этого щёлкните правой кнопкой мыши «Пуск» и в следующем меню нажмите «Управление компьютером». В разделе «Система» откройте папку «Локальные пользователи и группы → Пользователи». Теперь вы можете видеть отдельные учетные записи пользователей в главном окне. Щёлкните правой кнопкой мыши свою гостевую учетную запись и выберите «Свойства».

В открывшемся окне перейдите на вкладку Членство в группах и нажмите на кнопку Добавить . В следующем окне нажмите «Дополнительно» и в открывшемся окне нажмите кнопку Поиск . Ниже появится список групп пользователей. Выберите там «Гости» и дважды подтвердите нажатием «ОК».

Определение учетной записи пользователя в качестве гостевой

Теперь вы должны вернуться в окно «Свойства гостевой учетной записи» на вкладке Членство в группах. В списке есть две группы: «Пользователи» и «Гости». Отметьте «Пользователи» и нажмите Удалить , чтобы гостевая учетная запись была только членом гостевой группы с её сильно ограниченными правами. Подтвердите это нажатием ОК .

Активация гостевой учетной записи в Windows 10 Pro работает очень похожим образом: в «Настройках» нажмите «Учетные записи → Семья и другие пользователи → Добавить кого-то ещё на этот компьютер». Дальнейшие действия идентичны действиям в Windows 11.

Чёткое разделение между учетными записями пользователей

Для каждой новой учетной записи Windows создаёт новое дерево каталогов со стандартными папками, такими как «Изображения», «Документы», «Рабочий стол», «Загрузки» и т.д. в папке C:\Users. Вы также найдёте там папку «Общая», которая используется для установки общих программ и для обмена данными.

Любой владелец собственной учетной записи пользователя может добавить в свою папку дополнительные подпапки. Особенно интересно, что компьютеры, которыми пользуются несколько человек, не имеют доступа к папкам другого пользователя. Попытка завершается сообщением об ошибке. Поэтому, если вы сохраняете свои личные документы и записи в папке пользователя, вы можете быть уверены, что другие не смогут их увидеть.

Единственным исключением является администратор: он может просматривать папки всех пользователей и открывать, редактировать и копировать содержащиеся в них файлы.

Обычные пользователи сохраняют контроль не только над своими файлами. Вы также можете создать свой собственный рабочий стол, выбрать фоновое изображение и разрешение и, что не менее важно, установить программы, которые будут доступны только вам.

Однако не удивляйтесь, если после настройки обычного пользователя на его рабочем столе появятся те же значки приложений, что и на рабочем столе администратора. Причина в том, что не все программы различают установку для текущего пользователя и установку для всех пользователей. И даже если они это сделают, многие пользователи нажимают «Для всех» на экране выбора. Поэтому значки автоматически появляются в среде Windows всех остальных пользователей. То же самое, если обычный пользователь устанавливает программное обеспечение не только для себя, но и для всех.

Ограничить права пользователя

Хотя у них нет доступа ко многим системным инструментам, обычные пользователи пользуются широкой свободой в проектировании своей рабочей среды. Это не всегда желательно. Например, в некоторых местах администратор предпочел бы, чтобы пользователи не устанавливали свои собственные программы на компьютере. Или чтобы у них не было доступа к реестру или обновлению Windows.

Всё это можно легко реализовать с помощью групповых политик. Подходящим инструментом для этого является редактор групповой политики, который можно вызвать только в версиях Windows Pro. В домашних версиях вы можете активировать его позже через командную оболочку. Редактор доступен только пользователям с правами администратора.

Чтобы получить доступ к инструменту, нажмите одновременно клавиши Win и R , в открывшемся окне введите gpedit.msc и нажмите OK . В левой части окна программы вы увидите две большие области: «Конфигурация компьютера» и «Конфигурация пользователя». Параметры в разделе «Конфигурация компьютера» применяются ко всем пользователям, включая администратора, а параметры в разделе «Конфигурация пользователя» применяются только к вошедшему в систему пользователю. Индивидуальные настройки можно найти в разделе «Административные шаблоны».

Однако вы, вероятно, хотите ограничить права пользователя не для себя или для всех людей, а конкретно для одного или нескольких пользователей. Это можно сделать через Консоль управления Microsoft, сокращенно MMC.

В поле поиска стартового меню введите MMC и нажмите на одноименный результат. Откроется пустое окно консоли. Нажмите ФайлДобавить/удалить оснастку. В открывшемся окне выберите «Редактор объектов групповой политики» и нажмите «Добавить».

Добавление объекта групповой политики для пользователей Windows

Появится окно приветствия, в котором вы нажимаете на кнопку «Обзор». В следующем окне перейдите на вкладку Пользователи, отметьте учётную запись, права которой вы хотите ограничить, и закройте окна кнопками «ОК», «Готово» и «ОК».

Нажмите ФайлСохранить, чтобы сохранить политику. Вернувшись в консоль, выделите «Локальный компьютер/[Имя учетной записи] Политики». Теперь вы можете сделать нужные настройки в разделе «Административные шаблоны».

Административные шаблоны политик для отдельного пользователя Windows

Затем повторите процесс для всех других пользователей, права которых вы хотите ограничить.

Права доступа к общим ресурсам

Windows имеет сложную систему прав для доступа к общим ресурсам в сети.

Щёлкните правой кнопкой мыши папку, которой хотите поделиться, и перейдите в «Свойства». Перейдите на вкладку Общий доступ, нажмите «Расширенный общий доступ» и установите флажок «Поделиться этой папкой». После нажатия на «Разрешения» вы определяете, кто должен иметь доступ к папке. Запись «Все» не относится ни к одному человеку, а только к пользователям, которые настроены на компьютере с общим ресурсом. Вы можете удалить «Все», а затем выбрать других пользователей через «Добавить → Дополнительно → Поиск». В окне «Разрешения общего доступа» установите разрешения. Администраторы должны иметь полный доступ

Наиболее важные групповые политики

Под административными шаблонами находятся десятки политик. Параметр многих из них не имеет значения – просто оставьте его на «Не настроено». Тем не менее, есть некоторые, в которые вы обязательно должны вмешаться:

  • В подпапке «Система» вы найдёте политику «Запретить доступ программам, редактирующим реестр». Так как большая часть настроек Windows может быть изменена через базу данных реестра, вам следует активировать эту опцию. Поэтому дважды щёлкните политику, выберите «Включено» и подтвердите нажатием «ОК».
  • В этой же папке находится политика «Запретить доступ к командной строке». Вы также должны отозвать это право у пользователей, чтобы предотвратить ненадлежащее использование мощных команд командной строки.
  • В-третьих, папка «Система» содержит два параметра: «Не запускать указанные приложения Windows» и «Запускать только разрешенные приложения Windows». Первый вариант – отрицательный список, второй вариант – положительный список. Позитивная версия проще в настройке. Дважды щёлкните политику, установите для неё значение «Включено» и нажмите «Просмотреть». В открывшемся окне дважды щёлкните поле «Значение» и введите имя EXE-файла программы, использование которой вы хотите разрешить, например, Winword.EXE. Повторите со всеми другими приложениями.
  • Теперь перейдите в папку «Панель управления». Политикой «Запретить доступ к панели управления и настройкам ПК» вы блокируете доступ к таким настройкам, как разрешение экрана, звуковые эффекты или мышь. Ярлыки, такие как щелчок правой кнопкой мыши на рабочем столе и выбор «Настройки экрана», также больше не работают. Для более детальной настройки выберите либо политику «Скрыть указанные значки панели управления», либо политику «Показать только указанные значки панели управления». Или вы можете перейти в подпапки, такие как «Настройка», «Дисплей» и т.д., и сделать там нужные настройки.
  • Установка обновлений также должна быть предоставлена администратору. Для этого откройте «Видимость страницы настроек», включите политику, введите hide:windowsupdate в разделе «Параметры» и нажмите «ОК». Функция обновления теперь исчезнет из окна параметров Windows.

Наконец, когда вы пробуете это, будьте осторожны, чтобы не изменить настройки для администратора или всего ПК, тем самым заблокировав себя от таких инструментов, как редактор политик.

Для кого предназначены семейные аккаунты

В настройках учетной записи Windows вы найдете раздел «Ваша семья», где вы можете создать учетную запись для нового члена семьи. Такая учетная запись принципиально отличается от обычной учетной записи пользователя. Целевой группой являются – родители, которые хотят контролировать и ограничивать использование Интернета своими детьми.

Вы должны создать отдельную учетную запись для каждого из ваших детей. Для этого они сами должны иметь учетную запись Microsoft, локальной учетной записи Windows недостаточно. Учетные записи детей также являются учетными записями Microsoft. Для этого детям нужен адрес электронной почты. Если у вас его ещё нет, в процессе регистрации будет создан адрес Outlook или Hotmail.

Затем родители могут управлять своей семейной группой онлайн. Вы можете отслеживать действия детей на компьютере с ОС Windows и раз в неделю получать сводку по электронной почте. Чтобы ограничить компьютерное время, вы можете определить разрешённые временные промежутки.

Дополнительные ограничения могут быть установлены для программ, игр и мультимедиа, которые разрешено использовать ребенку. Веб-сайты, которые ваши потомки могут посещать, также могут быть ограничены. Если ребенку по-прежнему нужен определенный сайт, например, для школьного задания, он может отправить родителям запрос на временное разрешение по электронной почте.

5 способов ограничить возможности пользователя Windows 10

Самый лучший способ сделать так, чтобы никто из домочадцев не испытывал интерес к вашему личному компьютеру – купить каждому из них по своему компьютеру. Но, увы, не каждая семья может себе позволить такую роскошь. Ведь если покупать не ноутбук, а десктоп, нужно ещё и позаботиться об обустройстве компьютерного места в доме. Если своё виртуальное пространство всё же приходится делить с близкими, чтобы не накалять обстановку, тогда как хотя бы защитить его? Как минимум от ненамеренных действий детей или взрослых людей, но полных новичков. Ниже рассмотрим 5 способов такой защиты, реализуемых в среде Windows 10. Итак…

↑ 5 способов ограничить возможности пользователя Windows 10

↑ Тип учётной записи «Стандартный пользователь»

При установке любой версии Windows всегда создаётся учётная запись администратора, а внутри неё уже можно формировать сколь угодно учётных записей типа «Стандартный пользователь». Именно посредством таких и нужно делить компьютер с неопытными домочадцами. В Windows 10 создать другим пользователям отдельную среду для работы с компьютером можно в приложении «Параметры», в разделе «Учётные записи».

Тогда как с учётной записи администратора с Windows можно делать практически всё – устанавливать и запускать какой угодно софт, вносить в систему свои настройки, удалять любые, даже некоторые системные файлы, с учётной записи стандартного пользователя эти действия будут блокироваться. Стандартный пользователь сможет работать с Интернетом и программами, запуск которых неограничен получением разрешения на запрос UAC.

Подробнее о создании учётных записей в среде Windows 10 читайте здесь.

Такой подход не решит всех проблем, которые порождает совместное использование технологий в доме, но как минимум снизит риск заражения компьютера вирусами. И в части случаев предотвратит сбой работы Windows. По всем вопросам запуска программ, требующих прав администратора, стандартному пользователю придётся обращаться к вам. И вы сможете контролировать действия того, кому доверили своё устройство.

↑ Блокировка установки десктопного ПО

Права стандартного пользователя в актуальной версии Windows 10 (обновлённой до Creators Update) можно ещё больше ограничить, запретив установку в систему десктопного ПО. В учётной записи администратора открываем приложение «Параметры» и проходим в раздел «Приложения». В первой вкладке раздела нам нужна функция «Установка приложений». В её выпадающем перечне выбираем опцию, разрешающую установку на компьютер только универсальных приложений из магазина Windows Store.

Для администратора это ограничение действовать не будет. А вот стандартный пользователь теперь не сможет установить в Windows ни одну десктопную программу. Как только он запустит инсталлятор, увидит такое вот сообщение.

В плане исследования новинок ему придётся довольствоваться только выбором контента из Windows Store. Ну или искать портативные программы, не требующие разрешения UAC.

↑ Только одно приложение из Windows Store

Свести совсем уж к минимуму возможности стандартного пользователя можно, ограничив его работу только с одним универсальным приложением. Редакция Windows 10 Pro предусматривает доступ к одному из приложений только из числа универсальных. А вот в редакциях системы Enterprise и Education в качестве единственного окна доступа учётной записи можно назначать браузер или десктопную программу. Такое ограничение настраивается в разделе управления учётными записями внутри приложения «Параметры».

В настройках ограниченного доступа необходимо указать учётную запись стандартного пользователя и единственное доступное ему приложение.

Выход из учётной записи, работающей в режиме ограничения, осуществляется клавишами Ctrl+Alt+Del.

Примечание: друзья, в предыдущих версиях Windows существовал ещё один тип учётной записи — «Гость». Microsoft её специально предусмотрела для случаев временной работы встречных-поперечных пользователей, которым владелец компьютера вынужден давать его на время попользоваться, чтобы не прослыть скупердяем. В версии системы 10 этот тип учётной записи упразднён, но при желании её всё же можно организовать. Как это делается, читайте в этой статье.

↑ Отключение Интернета

Более гибкие настройки ограничения использования Интернета может предложить ПО типа «Родительский контроль», в том числе и штатный функционал Windows 10, который будет рассмотрен ниже. Пока же такое ПО в системе не настроено, от случая к случаю ограничивать стандартных пользователей в работе с Интернетом можно за счёт отключения сетевой карты или Wi-Fi адаптера и правки файла hosts. Включение/отключение сетевых устройств и замена редакции файла hosts требуют наличия прав администратора. Следовательно, стандартному пользователю без пароля администраторской учётной записи эти ограничения никак не удастся обойти.

Чтобы полностью отключить Интернет на компьютере, на значке сети в системном трее вызываем контекстное меню и отправляемся раздел сетевых настроек системы.

Переключаемся на раздел «Изменение параметров адаптера» и с помощью контекстного меню отключаем активность сетевой карты или Wi-Fi.

Включаем, соответственно, обратным способом.

Больше возможностей по отключению Интернета может предложить утилита Net Disabler. Она предлагает простой способ отключения сетевой карты или Wi-Fi адаптера, отключение Интернета путём изменения настроек DNS и создания правила в брандмауэре Windows.

↑ Ограничение Интернета

Чтобы ограничить доступ только к отдельным интернет-сайтам, жмём клавиши Win+R, вводим:
%systemroot%\system32\drivers\etc

После нажатия «Ок» в системном проводнике обнаружим путь хранения файла hosts. Открываем его с помощью любого редактора TXT-файлов, например, штатного блокнота.

В самом низу файла вносим записи блокировки сайтов по типу:
127.0.0.1 домен_сайта

Домен указывается через пробел после цифровых значений, как показано на скриншоте. После чего сохраняем файл как текстовый в любом месте компьютера.

Включаем в проводнике отображение расширений файлов и переименовываем (клавиша F2) — убираем из имени «hosts.txt» расширение, то есть часть имени «.txt». Жмём Enter.

Теперь отправляемся по пути нахождения исходного файла hosts, удаляем его (или перемещаем куда-нибудь для хранения в качестве резервной копии), а на его место переносим только что отредактированный файл hosts с заблокированными сайтами. Для возврата настроек системы в исходное состояние либо возвращаем на место первую редакцию файла hosts, либо таким же образом правим текст существующей редакции и удаляем значения блокировки сайтов.

Примечание: друзья, работать с файлом hosts также можно с помощью сторонних программ, например, BlueLife Hosts Editor. Для частого использования они предлагают больше удобств.

↑ Родительский контроль Windows 10

Каждое ПО, реализуемое в среде Windows функцию родительского контроля, имеет свои особенности. Возможности такой функции в составе Windows 10 позволяют гибко устанавливать и снимать ограничения для детских учётных записей, причём ещё и удалённо по Интернету — из веб-интерфейса учётной записи Microsoft. Правда, без Интернета управлять этой функцией нельзя. Применение к учётной записи родительского контроля позволит гибко ограничивать пользователя в действиях:

  • Разрешать или запрещать доступ к определённому перечню сайтов;
  • Запрещать покупку приложений из Windows Store;
  • Разрешать доступ к компьютеру по графику;
  • Блокировать запуск отдельного ПО (причём как универсальных приложений, так и десктопных программ);
  • Отслеживать действия пользователя и т.п.

Для использования штатной функции родительского контроля и у родителя, и у ребёнка должны быть зарегистрированы учётные записи Microsoft. И, соответственно, с помощью последней должен быть выполнен вход в систему. В разделе управления семейными учётными записями добавляем нового члена семьи.

Указываем, что это ребёнок, вводим адрес электронной почты, к которой подвязана его учётная запись Microsoft.

Затем заходим в почтовый ящик ребёнка и по ссылке в письме от Microsoft подтверждаем его присоединение к семье. После этого в разделе «Семья» веб-интерфейса учётной записи Microsoft взрослого откроется доступ к настройкам родительского контроля ребёнка.

Ограничения пользователей компьютера с помощью локальной групповой политики

Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.

↑ Ограничения пользователей компьютера с помощью локальной групповой политики

↑ Групповая политика для всех пользователей компьютера

Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:

• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;

• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.

Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.

↑ Групповая политика для отдельных учётных записей

Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».

В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».

Теперь – «Обзор».

И добавляем пользователей. Выбираем:

• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;

• либо конкретного пользователя.

Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».

Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.

Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.

Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.

↑ Ограничения с помощью групповой политики

Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».

Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.

↑ 1. Запрет запуска отдельных программ

Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны — Система

Выбираем параметр «Не запускать указанные приложения Windows».

Включаем его, жмём «Применить».

Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:

AnyDesk.exe

После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.

По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем.

↑ 2. Ограничение размера профиля

Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:\) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:

Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».

Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.

При достижении указанного лимита система будет выдавать соответствующее сообщение.

↑ 3. Отключение записи на съёмные носители

Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:

Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.

Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.

↑ 4. Удаление файлов мимо корзины

При частом захламлении диска (C:\) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:

Административные шаблоны – Компоненты Windows – Проводник
Отрываем параметр «Не перемещать удаляемые файлы в корзину».

Включаем, применяем.

↑ 5. Запрет доступа к дискам компьютера

Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:

Административные шаблоны – Компоненты Windows – Проводник
Открываем параметр «Запретить доступ к дискам через «Мой компьютер».

Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.

↑ 6. Запрет доступа к панели управления и приложению «Параметры»

Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:

Административные шаблоны – Компоненты Windows – Проводник
Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».

Включаем, применяем.

Полезная статья на эту тему: Как запустить редактор локальной групповой политики gpedit.msc в среде Windows Home

Общие сведения об управлении доступом

В этой статье описывается управление доступом в Windows, которое представляет собой процесс авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. Основные понятия, составляющие управление доступом:

  • Разрешения
  • владение объектами
  • наследование разрешений
  • права пользователя
  • аудит объектов

Компьютеры под управлением поддерживаемой версии Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения того, имеет ли пользователь, прошедший проверку подлинности, правильные разрешения на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам, не являющимся владельцем ресурса, и их необходимо защитить от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения субъектам безопасности. Во время проверка управления доступом эти разрешения проверяются, чтобы определить, какие субъекты безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный контроль) с объектами. Объекты включают файлы, папки, принтеры, разделы реестра и объекты доменные службы Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет диспетчерам ресурсов применять управление доступом следующими способами:

  • Запрет доступа для несанкционированных пользователей и групп
  • Установка четко определенных ограничений на доступ, предоставляемый авторизованным пользователям и группам

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, вложенные папки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается путем ссылки на контейнер в качестве родительского. Объект в контейнере называется дочерним, а дочерний наследует параметры управления доступом родительского объекта. Владельцы объектов часто определяют разрешения для объектов-контейнеров, а не для отдельных дочерних объектов, чтобы упростить управление доступом.

Этот набор содержимого содержит:

  • Обзор динамического контроля доступа
  • Идентификаторы безопасности
  • Субъекты безопасности
    • Локальные учетные записи
    • Учетные записи Active Directory
    • Учетные записи Майкрософт
    • Учетные записи службы
    • Группы безопасности Active Directory

    Требования к выпуску и лицензированию Windows

    В следующей таблице перечислены выпуски Windows, поддерживающие контроль доступа (ACL/SACL):

    Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
    Да Да Да Да

    контроль доступа лицензии (ACL/SACL) предоставляются следующими лицензиями:

    Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
    Да Да Да Да Да

    Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

    Практическое применение

    Администраторы, использующие поддерживаемую версию Windows, могут уточнить приложение и управление доступом к объектам и субъектам, чтобы обеспечить следующую безопасность:

    • Защита большего числа и разнообразия сетевых ресурсов от неправильного использования
    • Подготовка пользователей к доступу к ресурсам в соответствии с политиками организации и требованиями их заданий
    • Разрешить пользователям получать доступ к ресурсам с различных устройств в различных расположениях
    • Регулярно обновляйте возможность доступа пользователей к ресурсам по мере изменения политик организации или изменения заданий пользователей
    • Учитывайте растущее число сценариев использования (например, доступ из удаленных расположений или с быстро расширяющихся устройств, таких как планшетные компьютеры и мобильные телефоны);
    • Выявление и устранение проблем с доступом, когда законные пользователи не могут получить доступ к ресурсам, которые им необходимы для выполнения своих заданий

    Разрешения

    Разрешения определяют тип доступа, который предоставляется пользователю или группе для объекта или свойства объекта. Например, группе «Финансы» можно предоставить разрешения на чтение и запись для файла с именем Payroll.dat.

    С помощью пользовательского интерфейса управления доступом можно задать разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, так как это повышает производительность системы при проверке доступа к объекту.

    Для любого объекта можно предоставить разрешения на:

    • Группы, пользователи и другие объекты с идентификаторами безопасности в домене.
    • Группы и пользователи в этом домене и любых доверенных доменах.
    • Локальные группы и пользователи на компьютере, где находится объект.

    Разрешения, присоединенные к объекту, зависят от типа объекта. Например, разрешения, которые могут быть присоединены к файлу, отличаются от разрешений, которые могут быть присоединены к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Ниже перечислены распространенные разрешения.

    • Read
    • Изменить
    • Смена владельца
    • Delete

    При настройке разрешений вы указываете уровень доступа для групп и пользователей. Например, можно разрешить одному пользователю читать содержимое файла, другому пользователю вносить изменения в файл и запретить другим пользователям доступ к файлу. Вы можете задать аналогичные разрешения на принтерах, чтобы некоторые пользователи могли настроить принтер, а другие — только печать.

    Если необходимо изменить разрешения для файла, можно запустить Windows Обозреватель, щелкнуть имя файла правой кнопкой мыши и выбрать пункт Свойства. На вкладке Безопасность можно изменить разрешения для файла. Дополнительные сведения см. в разделе Управление разрешениями.

    Другой тип разрешений, называемый разрешениями общего доступа, задается на вкладке Общий доступ на странице свойств папки или с помощью мастера общих папок. Дополнительные сведения см. в разделе Общий доступ и разрешения NTFS на файловом сервере.

    Владение объектами

    Владелец назначается объекту при создании этого объекта. По умолчанию владелец является создателем объекта . Независимо от того, какие разрешения заданы для объекта, владелец объекта всегда может изменить разрешения. Дополнительные сведения см. в разделе Управление владением объектами.

    Наследование разрешений

    Наследование позволяет администраторам легко назначать разрешения и управлять ими. Эта функция автоматически приводит к тому, что объекты в контейнере наследуют все наследуемые разрешения этого контейнера. Например, файлы в папке наследуют разрешения папки. Наследуются только разрешения, помеченные как наследуемые.

    Права пользователя

    Права пользователей предоставляют определенные привилегии и права входа пользователям и группам в вычислительной среде. Администраторы могут назначать определенные права учетным записям групп или отдельным учетным записям пользователей. Эти права разрешают пользователям выполнять определенные действия, такие как интерактивный вход в систему или резервное копирование файлов и каталогов.

    Права пользователя отличаются от разрешений, так как права пользователей применяются к учетным записям пользователей, а разрешения связаны с объектами. Хотя права пользователей могут применяться к отдельным учетным записям пользователей, их лучше администрировать на основе учетной записи группы. В пользовательском интерфейсе управления доступом нет поддержки предоставления прав пользователя. Однако назначение прав пользователя можно администрировать с помощью локальных параметров безопасности.

    Дополнительные сведения о правах пользователя см. в разделе Назначение прав пользователя.

    Аудит объектов

    С правами администратора вы можете выполнять аудит успешного или неудачного доступа пользователей к объектам. Вы можете выбрать доступ к объекту для аудита с помощью пользовательского интерфейса управления доступом, но сначала необходимо включить политику аудита, выбрав Аудит доступа к объекту в разделе Локальные политики в параметрах локальной безопасности. Затем эти события, связанные с безопасностью, можно просмотреть в журнале безопасности в Просмотр событий.

    Дополнительные сведения об аудите см. в статье Обзор аудита безопасности.

    См. также

    Дополнительные сведения об управлении доступом и авторизации см. в разделе контроль доступа и обзор авторизации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *