Почему так нельзя делать?

[PavelA]

При чтении темы возник вопрос: почему так нельзя делать?

P.S.2: Учётную запись 'Ограниченного Пользователя' нельзя делать из другой учётной записи, которая раньше имела права админа! Она должна быть 'свежой'...

Вопрос больше, конечно, к Паулу.

[maXmo]

От имени админской учётной записи в системных областях файловой системы могли быть созданы папки и файлы с соответствущим овнером и/или доступом на запись для этого пользователя. То же касается областей реестра с регистрацией сервисов и драйверов.

[PavelA]

Спасибо за пояснение.

[XP user]

От имени админской учётной записи в системных областях файловой системы могли быть созданы папки и файлы с соответствущим овнером и/или доступом на запись для этого пользователя. То же касается областей реестра с регистрацией сервисов и драйверов.

Всё верно, только вы осторожно очень выражаетесь, maXmo - такие записи создаются без сомнения.
В результате можно запросто как простой пользователь изменить настройки, к которым обычный пользователь не должен иметь доступ (системные, настройки защиты, и т.д. так как многие программы будут признать вас как хозяин, несмотря на теоретически ограниченные права) - соответсвенно и зловреды это могут сделать, и вся идея проактивной защиты пролетит на воздух.
P.S.: Лечиться потом конечно НЕ удастся совсем, потому что вдруг все начинают понимать, что вы простой юзер...

Paul

[maXmo]

Хмм… глянул в реестр, выяснил следующее: области сервисов и драйверов зарегистрированы на группу Administrators, самому админу там никаких прав не выдано, а вот настройки в HKLM/Software зарегены на того пользователя, кто их создавал.

[drongo]

у меня практический вопрос. Как это делать если пользователь
уже сидит под учётной записью администратора по умолчанию?
Думаете прокатит загрузиться в сейфмод и там выбрать админа?
По данному нюансу что-то не нашёл на сайте микрософта, а жаль...

[maXmo]

Как это делать

не понял. Что делать?

[drongo]

не понял. Что делать?

-> p2u употребил данное выражение:"Она должна быть 'свежой'"
как это делать на практике, когда пользователь уже работает в учётке админа.

[PavelA]

Наверное, просто завести нового, при этом правда поиметь головную юоль с программами, которые не прописываются для всех пользователей.

[drongo]

как завести нового и "свежего", если человек уже работал под админом...
p2u забаррикадировался и не отвечает в личку, я могу изменить данную блокировку,но считаю что это не корректно будет
Я бы хотел увидеть точные инструкции, так как большинство ведь уже сидят под админом.

[XP user]

как завести нового и "свежего", если человек уже работал под админом...
Я бы хотел увидеть точные инструкции, так как большинство ведь уже сидят под админом.

Панель Управление > Учётные записи пользователей > 'Создание учётной записи'. Теперь вводим имя новой учётной записи (оно же и имя нового пользователя - оно должно отличаться от имён всех других учётных записей, допустим drongo2). Нажимаем 'далее'. Теперь задаём Тип учётной записи - 'Ограниченный Пользователь', и нажимаем 'Создать учётную запись'. Теперь у вас будет новый пользователь, который имеет полный доступ только в своём профиле. Можно ему дать пароль, если считаете необходимо, и всё...
P.S.: на 'старую' учётную запись ставим либо другой пароль (покрепче), либо отключаем, либо её удалим (она должна быть закрытой, конечно, для того, чтобы её удалить). Если это был переименованный Встроенный Админ, то тогда можно только отключить её.
P.S.2: Должна быть по крайне мере одна действующая учётная запись с админ правами - можно создать её и под пароль...

Paul

[drongo]

p2u, Получается мы же делаем новую учётную запись из старой учётной записи
логическое не соответствие с :

Учётную запись 'Ограниченного Пользователя' нельзя делать из другой учётной записи, которая раньше имела права админа!

[XP user]

p2u, Получается мы же делаем новую учётную запись из старой учётной записи
логическое не соответствие с :

Может быть я неправильно выразился. Допустим - у вас есть 2 учётных записи - drongo1 и drongo2. Обе записи имеют права администратора. Если вы изменяете статус одной из этих двух на Ограниченный Пользователь, то тогда будут вышеуказанные проблемы. Вы должны создать drongo3 и сразу-же определить, что это будет Ограниченный Пользователь.

Paul

[drongo]

теперь разобрались всегда создавал учётки заново, чисто интуитивно

[maXmo]

Кстати, есть интересная настройка в политиках безопасности:
Local policies -> Security options -> System objects: Default owner for object created by members of the Administrators group.

[natalas]

у меня такой вопрос.
Свежая учетная запись пользователя создана. Как мне перенести туда некоторые пограммы, FF например? Его настройки выполнены в администраторе. В ограничнном пользователе я его вижу, но без выполненных уже настроек.

[XP user]

у меня такой вопрос.
Свежая учетная запись пользователя создана. Как мне перенести туда некоторые пограммы, FF например? Его настройки выполнены в администраторе. В ограничнном пользователе я его вижу, но без выполненных уже настроек.

Для FF ваш 'старый', админ профиль находится в скрытой папке
C:\Documents and Settings\natalas1\Application Data\Mozilla
Если вы хотите использовать новую созданную учётную запись для себя, то тогда ничего не мешает как админ копировать этот профиль и переносить копию папки в профиль нового пользователя natalas2 (C:\Documents and Settings\natalas2\Application Data). Если будет вопрос 'заменить?', то тогда ответить 'ДА'. Это на разрешения Windows НЕ влияет. Установить обновления FF нужно всё равно как админ (= natalas1), но эти обновления будут установлены для всех пользователей.

Paul

[natalas]

Спасибо, сейчас буду пробовать.

Добавлено через 29 минут

Ну вот, все получилось, теперь вышла юзером.

Добавлено через 11 минут

И еще один вопрос в ученых записях присутствует еще ASP. NET .Он необходим?

[XP user]

Ну вот, все получилось, теперь вышла юзером.

Поздравляю!

И еще один вопрос в учётных записях присутствует еще ASP. NET .Он необходим?

Вам лично, нет - она от .Net Framework.
Некоторые программы могут потребовать наличие .Net Framework на компьютере. Однако службу ASP.Net и всё, что связано с .Net Framework во вкладке 'службы' (Панель Управление - Администрирование) можно отключить, и учётную запись ASP.Net смело удалить.

Paul

[natalas]

Спасибо, как это я не догадалась. Ведь про службу уже был разговор.
И тепрь совсем чудной вопрос -как мне это все проверить. Удалось ли мне (ну хоть в каком то приближении) обеспечить безопасность компьютера.Вроде по пунктам все прошла (ну как поняла, разумеется).По злачным местам что ли походить?