Windows XP. Как создать "совсем-совсем непривилегированный" аккаунт, который по умолчанию не может нигде ничего создавать, а может только читать? Поясню проблему. Я создаю локальный аккаунт в системе (назовем его X). Убеждаюсь, что этот аккаунт не входит ни в какие группы (соответствующий список в свойствах аккаунта пуст). При этом, похоже, система все равно почему-то считает, что X входит в группу Users. По крайней мере, из-под X по умолчанию можно создавать файлы на различных дисках (т.к. в дефолтной конфигурации Windows XP группе Users разрешено создавать файлы, хотя и не разрешено редактировать чужие). Запрещать явно для X создавать файлы на каждом из дисков не хотелось бы. Как же быть?
P.S. Кстати, аккаунт Guest не обладает свойством неявного вхождения в группу Users. Вот хотелось бы создать аккаунт X, обладающий аналогичными правами...
Т.е. добавить X в группу Гости? Это я пробовал с самого начала, не помогает. Все равно есть доступ везде, где есть доступ у Users.
А почему бы просто не удалить его из группы юзерс? Сейчас проверил - работает, читает но не пишет никуда
Я выше написал, что X НЕ ВХОДИТ НИ В ОДНУ ГРУППУ (в том числе - в Users). Т.е. удаление не помогает. Про "не пишет никуда" - сомневаюсь. Попробуйте создать на диске папку под Администратором, а потом переключиться на X (не входящего в группу Users) и создать в этой папке файл. Файл создастся. Чужие файлы X и правда не может менять, но свои создавать - пожалуйста.
ну это же микрософт, группа юзерс она как бы фиктивная, искусственная на самом деле речь идет об объекте типа "юзер" запретить можно силой, поскольку prohibit имеет приоритет перед allow этому юзеру на томе чекаешь галочки deny на Create files/write data и там еще десяток потом чекаешь галочку на Replace on subdirectories и ждешь пока он пробежыт по всему диску
Во-во. А если томов с десяток? А если новый том периодически появляется (вставляют флэшку)? Так что это не метод, к сожалению...
ну вот и повод написать свою прогу )) third-party security application или заюзать имеющуюся голую винду мало где используют громадное количество настроек еще не означает что можно решить простые но свои проблемы
Ну это не столько убогость, сколько, похоже, непродуманность в работе с группами и ролями. Я этот вопрос еще в пять разных форумов запостил (в том числе микрософтовский), везде ничего не могут предложить. Похоже, проблема-то неразрешимая...
есть группа Users - просто группа среди других групп есть тип объекта User, это скорее everyone чем Users если явно, силой не запрещено именно в этом месте создавать свои файлы - то такое право есть попробуй другой тип объекта - например Computer, боюсь только интерактиве логон им не положен )) но нетворк логон Computer делает - может тебе этого хватит? попробуй, толко там придеца вручную создавать
Dmitry_Koteroff По умолчанию все файловые объекты вне системного раздела создаются с нулевым (минимально возможным) уровнем безопасности - полный доступ для встроенной группы Everyone. Поэтому придется убирать Everyone у всех дисков. По умолчанию дочерние объекты наследуют установки безопасности родителя, в этом случае операция будет быстрой (без рекурсии). AFAIK, в Windows 2003 ситуация несколько лучше - там новые файлы не наследуют Everyone.
Подождите, речь не об Everyone. Эта группа нигде не фигурирует. Фигурирует именно Users: например, снимая права на создание файлов у Users, они автоматически исчезают и у X (хотя X не входит в Users - у него список групп пуст). Что касается Everyone, то у нее-то как раз флажка на запись нет. У нее по умолчанию, похоже, права только на чтение - а это не так критично, как запись. Вот у Users - права на запись.
Dmitry_Koteroff Против множества томов поможет cacls: можно ведь скрипт написать используя эту команду. Говорят люди умудряются писать bat'ники не хуже *nix'овых скриптов. А как с флешками бороться -- это вообще загадка: ntfs там не используют, а на fat венда всем позволяет писать, как же вмешаться в процесс hotplug'а со своими скриптами я даже не предполагаю. Я эту пробему победил отключением usb-контроллеров в диспетчере устройств, тк слов у нас никто не понимает.
