В этом руководстве от Microsoft объясняется, как настроить учетные записи администратора с помощью контроля учетных записей. Контроль учетных записей позволяет получить доступ к административным правам на основе трех типов учетных записей: встроенная учетная запись администратора; учетная запись с административными правами; и стандартная, ограниченная учетная запись пользователя.
Настройка Windows 7 для ограниченного пользователя
Windows 7 распознает три широких класса пользователей:
Встроенная учетная запись «Администратор»: Эта учетная запись является особенной по ряду причин и по умолчанию отключена в Windows Vista и Windows 7. Поскольку эта учетная запись явно отключает некоторые важные функции безопасности такие функции (как защищенный режим Internet Explorer®), а также UAC, очень плохо использовать Администратор для чего-либо. Если вы отключите эту учетную запись, это обеспечит вам безопасность!
Учетная запись с правами администратора. Несмотря на то, что у пользователя есть возможность повысить права администратора из-за членства в локальной группе администраторов, в ключевые моменты времени UAC вставляет свои запросы, подтверждающие ваши намерения. Это режим запроса согласия, и после нажатия кнопки «Да» он повысит уровень задачи и запустится от имени администратора. Для выполнения административных задач всегда используйте этот вид пользовательской учетной записи администратора вместо встроенного администратора. Windows 7 вводит ползунок в настройки UAC, который позволяет изменять уровень запросов UAC, в том числе параметр для его полного отключения (режим одобрения администратором).
Стандартный пользователь с ограниченными правами: в системах UNIX и Linux никогда не возникало путаницы между административной задачей и пользовательской задачей – просто всегда было ясно, какая именно. Эти учетные записи просто не имеют полномочий для непосредственного выполнения административных задач, и при этом они не имеют возможности подняться с помощью простого подтверждения. Вместо этого им требуются учетные данные, такие как пароль или смарт-карта.
Для подробной версии этой статьи посетите Microsoft Technet.
Чтобы загрузить полную копию этого руководства, посетите Центр загрузки Microsoft.
Друзья, в одной из недавних статей сайта мы рассмотрели 5 способов ограничения возможностей пользователей компьютеров, реализуемых за счёт превалирования учётных записей администраторов над стандартными и использования функционала типа «Родительский контроль». В этой статье продолжим тему осуществления контроля пользователей, которым мы вынуждены иногда доверять свои компьютеры, однако не можем быть уверенными в их действиях в силу неосознанности или неопытности. Рассмотрим, какие ещё действия детей и неопытных взрослых можно ограничить в среде Windows. И для этих целей будем использовать штатный инструмент локальной групповой политики, доступный в редакциях Windows, начиная с Pro.
Групповая политика – это инструмент, с помощью которого можно гибко настроить работу Windows. Управление этим функционалом осуществляется посредством редактора gpedit.msc. Для быстрого запуска его название можно ввести в поле внутрисистемного поиска или команды «Выполнить». Редактор содержит две основных ветки параметров:
• «Конфигурация компьютера», где содержатся параметры для всего компьютера, то есть для всех его пользователей;
• «Конфигурация пользователя» – каталог, содержащий параметры отдельных пользователей компьютера.
Внесение изменений непосредственно в окне редактора будет иметь силу для всех учётных записей. Если, например, заблокировать запуск каких-то программ, эта блокировка будет применена и для администратора, и для стандартных пользователей. Если на компьютере проводится работа с единственной учётной записи администратора, можно сразу приступать к рассмотрению конкретных параметров, которые приводятся в последнем разделе статьи. Но если у других членов семьи есть свои учётные записи, при этом ограничения не должны касаться администратора, потребуется ещё кое-что настроить.
Как сделать так, чтобы с помощью локальной групповой политики можно было вносить изменения только для отдельных учётных записей? Возможность управления этим инструментом системы в части применения изменений не для всех, а лишь для выбранных пользователей компьютера, появится, если редактор добавить в качестве оснастки консоли ММС. С помощью внутрисистемного поисковика или команды «Выполнить» запускаем штатную утилиту mmc.exe. В меню «Файл» консоли выбираем «Добавить или удалить оснастку».
В колонке справа выбираем «Редактор объектов групповой политики», жмём посередине «Добавить».
Теперь – «Обзор».
И добавляем пользователей. Выбираем:
• либо «Не администраторы», если нужно, чтобы настройки применялись ко всем имеющимся в системе учётным записям типа «Стандартный пользователь»;
• либо конкретного пользователя.
Готово.
Жмём «Ок» в окошке добавления оснасток, затем в меню «Файл» выбираем «Сохранить как».
Задаём файлу консоли имя, указываем какой-нибудь удобный путь сохранения, скажем, на рабочем столе, и сохраняем.
Итак, мы создали оснастку редактора групповой политики для отдельного пользователя. Это, по сути, тот же редактор, что и gpedit.msc, но ограниченный наличием только единственной ветки «Конфигурация пользователя». В этой ветке и будем работать с параметрами групповой политики.
Сохранённый файл консоли нужно будет запускать каждый раз при необходимости изменить параметры групповой политики для отдельных учётных записей.
Редактор групповой политики содержит массу параметров, которые вы, друзья, можете самостоятельно исследовать и решить, какие из них необходимо применять в вашем конкретном случае. Я же сделал небольшую подборку запретов в среде Windows 10 на своё усмотрение. Все они будут касаться только подконтрольного пользователя. И, соответственно, изменения будут вноситься в ветку редактора «Конфигурация пользователя».
Итак, если нужно внести ограничения для всех, кто пользуется компьютером, запускаем редактор gpedit.msc. А если нужно урезать возможности отдельных людей, но чтобы это не касалось администратора, запускаем созданный файл консоли и работаем с редактором внутри неё.
Если кого-то нужно ограничить в работе с отдельными программами или играми, следуем по пути:
Административные шаблоны — Система
Выбираем параметр «Не запускать указанные приложения Windows».
Включаем его, жмём «Применить».
Появится список запрещённых приложений. Кликаем «Показать» и в графы появившегося окошка поочерёдно выписываем десктопные программы и игры, запуск которых будет заблокирован. Вписываем их полное имя с расширением по типу:
AnyDesk.exe
После чего снова жмём «Применить» в окне параметра. Теперь подконтрольный пользователь вместо запуска программы или игры увидит только вот это.
По такому же принципу можно сформировать перечень только разрешённых для запуска программ и игр, выбрав параметр в этой же ветке ниже «Выполнять только указанные приложения Windows». И тогда для пользователя будет блокироваться всё, что не разрешено этим перечнем.
Пыл любителей скачивать с Интернета что попало и захламлять раздел (C:) можно поубавить, если ограничить профиль таких пользователей в размере. Идём по пути:
Административные шаблоны – Система – Профили пользователей
Выбираем параметр «Ограничить размер профиля».
Включаем, устанавливаем максимальный размер профиля в кБ, при желании можем отредактировать сообщение о превышении лимита пространства профиля и выставить свой интервал появления этого сообщения. Применяем.
При достижении указанного лимита система будет выдавать соответствующее сообщение.
Отключение возможности записи на съёмные носители – это мера предосторожности скорее для серьёзных организаций, бдящих о сохранении коммерческой тайны. Таким образом на компьютерах сотрудников блокируется возможность переноса на флешки или прочие носители важных данных. Но в семьях бывают разные ситуации. Так что если потребуется, для отдельных людей можно отключить работу с подключаемыми носителями – и чтение, и запись. Делается это по пути:
Административные шаблоны – Система – Доступ к съёмным запоминающим устройствам.
Чтобы, например, кто-то из близких не перенёс на съёмный носитель (любого типа) хранящуюся на компьютере ценную информацию, выбираем параметр «Съёмные диски: Запретить запись». Включаем, применяем.
При частом захламлении диска (C:) учётные записи активно участвующих в этом процессе пользователей можно настроить так, чтобы их файлы удалялись полностью, минуя корзину. Это делается по пути:
Административные шаблоны – Компоненты Windows – Проводник
Отрываем параметр «Не перемещать удаляемые файлы в корзину».
Включаем, применяем.
Ограничить доступ других пользователей к отдельным дискам компьютера можно разными методами. Например, путём установки запрета доступа в свойствах диска или посредством функционала шифрования, в частности, штатного BitLocker. Но есть и способ с помощью групповой политики. Правда, работает он только для штатного проводника. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Открываем параметр «Запретить доступ к дискам через «Мой компьютер».
Включаем, применяем. Появится окошко выбора дисков компьютера. Выбираем нужный вариант и применяем настройки.
Стандартные учётные записи в любом случае ограничены UAC, и с них невозможно без пароля администратора вносить какие-то серьёзные настройки в систему. Но при необходимости для стандартных пользователей можно и вовсе запретить запуск панели управления и приложения «Параметры». Чтобы не могли менять даже и то, на что не требуется разрешение администратора. Идём по пути:
Административные шаблоны – Компоненты Windows – Проводник
Запускаем параметр «Запретить доступ к панели управления и параметрам компьютера».
Включаем, применяем.
Download PC Repair Tool to quickly find & fix Windows errors automatically
This guide from Microsoft explains how to set up your Administrator accounts through User Account Control. User Account Control allows access to administrative rights, based on three account types: the built-in Administrator account; an account with administrative rights; and a standard, limited user account.
Windows 7 recognizes three broad classes of users:
The built-in “Administrator” account: This account is special for a number of reasons, and is disabled by default in Windows Vista and Windows 7. Because this account explicitly turns off some important security features (such as Internet Explorer® Protected Mode) as well as UAC, it’s a really bad idea to use Administrator for anything. Keeping this account disabled will help keep you safer!
An account with administrative rights: Though a user has the ability to elevate to admin rights due to membership in the local Administrators group, UAC interposes itself at key times with prompts that confirm your intentions. This is the Prompt-for-Consent mode, and upon clicking Yes, it will elevate the task and run as an Administrator. For performing administrative tasks, always use this kind of custom admin account instead of the built-in Administrator. Windows 7 introduces a slider to the UAC settings that allow for changing the level of UAC prompts, including a setting to disable it entirely (Admin-approval mode).
A standard, limited user: UNIX and Linux systems have never had the confusion between what’s an administrative task and what’s a user task—it was simply always apparent which was which. These accounts simply do not have the power to perform administrative tasks directly, nor do they have the ability to elevate with a mere confirmation. They instead require credentials such as a password or a smartcard.
For a detailed version of this article visit Microsoft Technet.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Download PC Repair Tool to quickly find & fix Windows errors automatically
This guide from Microsoft explains how to set up your Administrator accounts through User Account Control. User Account Control allows access to administrative rights, based on three account types: the built-in Administrator account; an account with administrative rights; and a standard, limited user account.
Windows 7 recognizes three broad classes of users:
The built-in “Administrator” account: This account is special for a number of reasons, and is disabled by default in Windows Vista and Windows 7. Because this account explicitly turns off some important security features (such as Internet Explorer® Protected Mode) as well as UAC, it’s a really bad idea to use Administrator for anything. Keeping this account disabled will help keep you safer!
An account with administrative rights: Though a user has the ability to elevate to admin rights due to membership in the local Administrators group, UAC interposes itself at key times with prompts that confirm your intentions. This is the Prompt-for-Consent mode, and upon clicking Yes, it will elevate the task and run as an Administrator. For performing administrative tasks, always use this kind of custom admin account instead of the built-in Administrator. Windows 7 introduces a slider to the UAC settings that allow for changing the level of UAC prompts, including a setting to disable it entirely (Admin-approval mode).
A standard, limited user: UNIX and Linux systems have never had the confusion between what’s an administrative task and what’s a user task—it was simply always apparent which was which. These accounts simply do not have the power to perform administrative tasks directly, nor do they have the ability to elevate with a mere confirmation. They instead require credentials such as a password or a smartcard.
For a detailed version of this article visit Microsoft Technet.
Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.
Желательно, после установки операционной системы windows, создать учетную запись пользователя с ограниченными правами и работать под ней.
Как создать учетную запись с ограниченными правами?
Дополнительную учетную запись в windows 7 можно легко создать, нажав на кнопку «Пуск», перейдя в «Панель управления» и выбрать меню «Учетные записи»-«Добавление и удаление учетных записей пользователя».
В открывшемся окне снизу нужно нажать на строку-ссылку «Создание учетной записи». Стоит заметить, что создать учетную запись можно только из учетной записи, которая имеет права Администратора.
В новом окне необходимо ввести имя новой учетной записи, например «Андрей», отметить точкой права пользователя «Обычный доступ» и нажать на кнопку внизу окна «Создание учетной записи».
Для новой учетной записи обязательно нужно придумать пароль. Для этого по кликаем мышкой по ее ярлыку двойным щелчком, после чего нажимаем на строку-ссылку «Создание пароля». В открывшемся диалоговом окне вводим пароль, затем дублируем его в строке ниже и нажимаем на кнопку «Создать пароль».
Вот и все, новая учетная запись с ограниченными правами создана. Теперь пользователь, который будет из-под нее работать, не сможет ни запустить, ни удалить файлы, если не будет знать пароль администратора.
Чтобы зайти в компьютер под новой учетной записью, перезагрузка не нужна. Для этого всего лишь нужно нажать на кнопку «Пуск», после чего нажать на стрелку в меню «Завершение работы», и выбрать из выпавшего меню «Сменить пользователя». После выбора нужной учетной записи, нажатия на ее ярлык и введения пароля вы сразу же увидите свой новый рабочий стол.
Настройка учетной записи с ограниченными правами
Чтобы при запуске файлов или их удалении открывалось окно с предложением ввести пароль администратора для продолжения работы, а не предупреждение о том, что вы не можете установить программу, так как у вас нет административных привилегий, необходимо изменить степень контроля учетных записей.
Эта опция специально предназначена для уведомления пользователя, который собирается произвести какие-либо манипуляции, требующие административных прав.
Следует заметить, что настраивать учетную запись с ограниченными правами нужно только из-под учетной записи администратора, иначе вы ничего не сможете сделать.
Для этого нужно нажать «Пуск»-«Панель управления», затем нажав на меню «Система и безопасность», выбрать строку «Изменение параметров контроля учетных записей».
В открывшемся окне нужно поднять бегунок на вторую позицию сверху «Всегда уведомлять», нажать «Ок», и в следующем окне, которое всегда теперь будет появляться при попытках запустить или удалить файлы, нажать «Да».
Теперь у вас есть пользователь с ограниченными правами в windows.
Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Starter Windows 7 Ultimate Windows 8 Еще…Меньше
Windows 8, Windows 7 и Windows Server 2008 R2 используют дополнительные параметры контроля учетных записей (UAC). Аналогичные параметры используются при настройке безопасности зон в браузере Internet Explorer. Войдя в систему с учетной записью локального администратора, можно включить или отключить уведомления контроля учетных записей или указать время, когда сообщения об изменениях должны приходить на ваш компьютер.
ВВЕДЕНИЕ
Windows Vista использует только два типа параметров UAC: включено и выключено. Windows 7 и Windows 8 используют больше параметров.
1.Настройка параметров UAC
В Windows 7:
. Откройте раздел Параметры контроля учетных записей. Для этого введите UAC в поле поиска и в окне панели управления выберите пункт Изменение параметров контроля учетных записей.
Настройка параметров контроля учетных записей в Windows 8:
.Наведите указатель мыши на кнопку Aero Peek, которая также используется в качестве кнопки «Свернуть все окна» и находится в правой части новой панели задач.
.Щелкните значок Поиск, введите в поисковом поле UAC и щелкните пункт Параметры под ним.
.На левой панели выберите пункт Изменение параметров контроля учетных записей.
2. Переместите ползунок на нужную отметку и нажмите кнопку ОК.
Можно указать один из четырех параметров UAC:
-
Всегда уведомлять
Выберите этот параметр, чтобы:
-
всегда получать уведомления о попытках программ установить программное обеспечение или внести изменения в компьютер;
-
всегда получать уведомления при изменении параметров Windows пользователем.
-
-
Уведомлять только при попытках программ внести изменения в компьютер
Выберите этот параметр, чтобы:
-
получать уведомления только при попытках программ внести изменения в компьютер;
-
не получать уведомления при изменении параметров Windows пользователем.
-
-
Уведомлять только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)
Выберите этот параметр, чтобы:
-
получать уведомления только при попытках программ внести изменения в компьютер без затемнения рабочего стола;
-
не получать уведомления при изменении параметров Windows пользователем.
-
-
Никогда не уведомлять
(Отключить контроль учетных записей)Выберите этот параметр, чтобы:
-
никогда не получать уведомления при попытках программ установить программное обеспечение или внести изменения в компьютер;
-
никогда не получать уведомления при изменении параметров Windows пользователем.
-
Дополнительная информация
Нужна дополнительная помощь?
Настройка учетной записи пользователя с ограниченными правами в windows 7
Примечание
Этот блог написан Стивом Фридлом (Steve Friedl, технические советы на сайте Unixwiz.net) и первоначально опубликован в мае 2020 г. Автор выражает благодарность Сьюзен Брэдли (Susan Bradley, специалист Microsoft MVP) и Криспину Ковану (Crispin Cowan) за их помощь. |
Сейчас многие пользователи знакомятся с появившейся в продаже новой операционной системой windows® 7. Те, кто переходит на нее с ОС windows XP, пропустив ОС windows Vista®, обнаруживают новый интерфейс пользователя и совершенно новую концепцию безопасности: контроль учетных записей.
Возможность контроля учетных записей появилась еще в ОС windows Vista и встретила всеобщее неприятие вследствие ее «навязчивости». По мере выпуска обновлений для windows Vista она «угомонилась» и, похоже, нашла свое место в ОС windows 7. Мне очень нравится, как работает контроль учетных записей.
Даже в своей несовершенной форме попытка более четко разграничить административные и пользовательские задачи, граница между которыми была размыта в операционных системах windows с момента их появления, была неплохой идеей.
В значительной степени это касается ранних операционных систем для домашних пользователей windows 95, windows 98 и windows ME, в которых с технической точки зрения не существовало различий между этими ролями: каждый пользователь был администратором, а разработчики программного обеспечения даже не задумывались о разделении ролей.
И даже в более современных системах windows NT, windows 2000 и windows XP было настолько трудно работать в качестве пользователя, не имеющего прав администратора, что многие просто отказывались от этого и работали с учетной записью администратора. Практически полностью это было обусловлено вредными привычками разработчиков программного обеспечения: сами они работали с правами администратора и просто создавали код, в котором предполагалось наличие таких прав.
В корпорации Майкрософт прилагали большие усилия, чтобы исправить ситуацию, когда каждый пользователь выступал в роли администратора. Контроль учетных записей стал попыткой найти компромиссное решение: если вы собираетесь входить в систему в качестве администратора, мы, по крайней мере, можем проинформировать вас о различии ролей. Именно для этой цели задумывался контроль учетных записей.
Совет
Данная статья посвящена исключительно операционной системе windows 7, но большинство идей применимы и для ОС windows Vista. Кроме того, в статье описываются только компьютеры, входящие в состав рабочих групп, или автономные компьютеры; в ней не рассматриваются более сложные корпоративные среды с компьютерами, присоединенными к домену. |
Содержание документа
Описание контроля учетных записей
Метод 1. Настройка новой установки
Метод 2. Преобразование уже установленной учетной записи администратора
Отключение учетной записи администратора
Выбор пароля
Защитите себя от собственного компьютера
Контроль учетных записей обеспечивает защиту доступа к правам администратора, что связано с повышением прав: при попытке выполнения задач администрирования операционная система автоматически повышает права до уровня администратора или запрашивает того либо иного рода разрешение или учетные данные.
В ОС windows 7 различают три широких класса пользователей.
Несмотря на наличие у пользователя возможности повышения прав до уровня администратора вследствие членства в локальной группе Администраторы, в ключевые моменты контроль учетных записей вмешивается и запрашивает подтверждение намерений.
Такой запрос появляется в режиме Запрос согласия. При нажатии кнопки Да права задачи повышаются, и она выполняется от имени администратора.
Для выполнения задач администрирования рекомендуется всегда использовать такого рода специальную учетную запись администратора, а не встроенную учетную запись Администратор.
В ОС windows 7 предусмотрен ползунок для настройки контроля учетных записей, который позволяет изменять уровень запросов контроля учетных записей, в том числе полностью отключать эту функцию (Режим одобрения администратором).
В операционных системах UNIX и Linux никогда не возникает путаницы насчет того, какие задачи относятся к административным, а какие к пользовательским — это всегда очевидно.
Такое разделение ролей хорошо иллюстрируется поведением пользователей в группах новостей в восьмидесятые годы. Пользователь, размещающий сообщения из своей учетной записи root (администратор компьютера), подвергался жесткой критике: «Не работай под root»!
Такие учетные записи просто не имеют непосредственных полномочий для выполнения административных задач или возможности повышения прав с помощью простого подтверждения. Для этого требуются учетные данные, например пароль или смарт-карта. При этом пользователю выдается следующий запрос.
Этот режим называется Запрос на повышение прав (в этом режиме кто-нибудь может ввести пароль, стоя за плечом у пользователя, и повысить права для утвержденной задачи).
Я считаю учетные записи пользователей с ограниченными правами очень полезными!
Я использую их, начиная с пакета обновления 2 (SP2) для windows XP, в том числе на своем ноутбуке и основной рабочей станции для разработки ПО. Временами это доставляло неудобства, но позволило значительно уменьшить уязвимость моей системы и несомненно внесло свой вклад в то, что безопасность моих компьютеров под управлением ОС windows никогда не была нарушена.
При переходе на ОС windows 7 я, естественно, хотел использовать учетную запись пользователя с ограниченными правами, но не зная, как она работает (в windows 7 и в windows Vista), я оказался фактически отрезан от своего собственного компьютера (см. раздел Защитите себя от собственного компьютера ниже).
В результате после некоторых размышлений (и нескольких переустановок системы) я написал эту статью, которая должна помочь повысить уровень безопасности тем пользователям, для которых это важно.
В этой статье приводится описание двух процедур: для новой установки операционной системы и для модификации уже установленной системы, в которой основной пользователь является администратором.
Этот метод применяется, если операционная система windows 7 уже установлена, а устанавливающий пользователь (в данном случае Steve) был автоматически создан с правами администратора. С технической точки зрения можно было бы изменить имя учетной записи на SteveAdmin и создать новую учетную запись Steve для пользователя с ограниченными правами, однако это привело бы к повреждению профилей пользователей, рабочего стола и других личных настроек. Несмотря на наличие возможности копировать профили, проще создать новую учетную запись администратора и понизить уровень имеющейся учетной записи.
Ниже приводится описание действий.
К данному моменту в одной из двух процедур был настроен пользователь Steve с ограниченными правами и учетная запись администратора SteveAdmin, однако некоторые пользователи могли ранее включить встроенную учетную запись Администратор.
Я считаю, что этого делать не следует, и рекомендую отключить эту учетную запись. Эти действия не требуется выполнять, если операционная система windows 7 только что установлена или если учетная запись Администратор не отображается на странице входа в виде значка пользователя, который может войти в систему.
В случае сомнений действия, которые требуется выполнить для проверки и отключения, практически идентичны.
Как ни странно, не всегда необходимо иметь пароль для учетной записи. К учетной записи с пустым паролем невозможно получить доступ по сети, что позволяет существенно снизить уязвимость компьютера.
Но для этого требуется обеспечить надлежащую физическую безопасность компьютера. Но при наличии на компьютере (или в среде) пользователей, которым не разрешено выполнять административные задачи, не рекомендуется использовать пустой пароль, поскольку в этом случае любой человек может подойти к компьютеру и натворить дел.
Кроме того, ноутбук, который выносится из дома, вряд ли подходит для использования пустого пароля, поскольку обеспечить его физическую безопасность проблематично.
Возможно, что для большинства домашних пользователей выбор схемы использования паролей не играет большой роли, однако в случае сомнений следует обсудить применяемый сценарий с заслуживающим доверия специалистом по безопасности.
Как уже говорилось, я раньше не устанавливал ОС windows Vista и поэтому не знал, что учетная запись «Администратор» по умолчанию отключена. Это закончилось неприятным сюрпризом после понижения прав учетной записи Steve.
После настройки компьютера я открыл панель управления, чтобы понизить права учетной записи Steve до уровня обычного пользователя. По незнанию я удалил единственную оставшуюся учетную запись администратора, так что после выхода из системы и последующего входа в систему (чтобы применить изменения учетной записи) при следующей операции контроля учетных записей появился приведенный ниже запрос.
Внимательный читатель заметит, что здесь нет места для ввода пароля! Сказать, что это вызвало досаду, все равно, что ничего не сказать. В зависимости от конфигурации компьютера может появиться приглашение использовать смарт-карту, но это не сильно поможет в случае компьютера, который не настроен для поддержки смарт-карты.
Это представляется недостатком системы, хотя данная ситуация возникла по моей вине.
technet.microsoft.com
Как ограничить доступ к папке в windows 7
Бывают ситуации когда нужно запретить или поставить ограничение доступа к папкам или файлам, особенно это актуально если на вашем компьютере есть несколько локальных пользователей которые не имеют прав администратора. Таким образом можно обезопасить свои данные как от чтения так и от полного удаления с ПК.
Как ограничить или запретить доступ к папке
Для ограничения прав работы с той или иной папкой для нескольких пользователей одного и того же компьютера, найдите необходимую папку и нажмите по ней правой кнопкой мышки, выберете последний пункт контекстного меню — «Свойства».
Затем в появившемся окне «Свойства папки» перейдите на третью вкладку — «Безопасность» и выберете пользователя для которого вы хотите наложить запрет на ее использование. Если у вас больше двух пользователей, то ограничения нужно выставлять для каждого из них.
Выбрав пользователя нажмите «Изменить», после чего появится окно с пунктами, каждый из них накладывает определенный запрет. К примеру выбрав «Полный доступ» вы ограничиваете любые действия связанные с папкой (вход, редактирование). Выбрав пункт «Запись» в папку можно будет войти, но вот добавить файлы или удалить их — невозможно. «Чтение» — накладывает запрет на вход.
Также установите пароль для своей учетной записи администратора, чтоб другие пользователи от вашего имени не могли снять наложенные вами запреты. Ну вот в принципе и все, как ограничить доступ к папке вы знаете.
tehno-bum.ru
Как запретить доступ к программам в windows 7
Мои программы и не отдам! Вообще можно ли сделать так, чтобы у обычного пользователя (не администратора) в windows 7 был доступ только к ограниченному списку программ, который определяет администратор? Разумеется! Для этого нам пригодится локальная групповая политика.
Однако, сразу предупредим – для работы нам потребуется редактор локальной групповой политики, которого, увы, не найдешь в версиях windows 7 “Домашняя базовая” и “Домашняя расширенная”.
Чтобы открыть редактор, щелкните на кнопке Пуск и введите в поле запроса команду gpedit.msc, после чего нажмите клавишу .
Откроется окно редактора, в котором следует перейти в папку Конфигурация пользователя > Административные шаблоны > Система.
Прокрутите список в правой панели вниз и дважды щелкните на строке Выполнять только указанные приложения windows.
В открывшемся окне выберите переключатель Включить, а в поле Параметры щелкните на кнопке Показать, расположенной справа от строки Список разрешенных приложений.
В новом окне Вывод содержания введите те программы (дважды щелкая на строке), доступ к которым нужно разрешить. Закончив ввод, щелкните на кнопке ОК и закройте редактор групповой политики.
Вот, собственно, и все дела. Теперь если пользователь без полномочий администратора попытается получить доступ к программе, его встретит недружелюбное сообщение об ошибке, где предложат обратиться к системному администратору, дабы тот разрешил запуск программы.
Таким простым методом можно запретить девушке доступ к Пасьянсу, хе-хе
windata.ru
Как создать пользователя с ограниченными правами
Желательно, после установки операционной системы windows, создать учетную запись пользователя с ограниченными правами и работать под ней.
Как создать учетную запись с ограниченными правами?
Дополнительную учетную запись в windows 7 можно легко создать, нажав на кнопку «Пуск», перейдя в «Панель управления» и выбрать меню «Учетные записи»-«Добавление и удаление учетных записей пользователя».
В открывшемся окне снизу нужно нажать на строку-ссылку «Создание учетной записи». Стоит заметить, что создать учетную запись можно только из учетной записи, которая имеет права Администратора.
В новом окне необходимо ввести имя новой учетной записи, например «Андрей», отметить точкой права пользователя «Обычный доступ» и нажать на кнопку внизу окна «Создание учетной записи».
Для новой учетной записи обязательно нужно придумать пароль. Для этого по кликаем мышкой по ее ярлыку двойным щелчком, после чего нажимаем на строку-ссылку «Создание пароля». В открывшемся диалоговом окне вводим пароль, затем дублируем его в строке ниже и нажимаем на кнопку «Создать пароль».
Вот и все, новая учетная запись с ограниченными правами создана. Теперь пользователь, который будет из-под нее работать, не сможет ни запустить, ни удалить файлы, если не будет знать пароль администратора.
Чтобы зайти в компьютер под новой учетной записью, перезагрузка не нужна. Для этого всего лишь нужно нажать на кнопку «Пуск», после чего нажать на стрелку в меню «Завершение работы», и выбрать из выпавшего меню «Сменить пользователя». После выбора нужной учетной записи, нажатия на ее ярлык и введения пароля вы сразу же увидите свой новый рабочий стол.
Настройка учетной записи с ограниченными правами
Чтобы при запуске файлов или их удалении открывалось окно с предложением ввести пароль администратора для продолжения работы, а не предупреждение о том, что вы не можете установить программу, так как у вас нет административных привилегий, необходимо изменить степень контроля учетных записей.
Эта опция специально предназначена для уведомления пользователя, который собирается произвести какие-либо манипуляции, требующие административных прав.
Следует заметить, что настраивать учетную запись с ограниченными правами нужно только из-под учетной записи администратора, иначе вы ничего не сможете сделать.
Для этого нужно нажать «Пуск»-«Панель управления», затем нажав на меню «Система и безопасность», выбрать строку «Изменение параметров контроля учетных записей».
В открывшемся окне нужно поднять бегунок на вторую позицию сверху «Всегда уведомлять», нажать «Ок», и в следующем окне, которое всегда теперь будет появляться при попытках запустить или удалить файлы, нажать «Да».
Теперь у вас есть пользователь с ограниченными правами в windows.
v-mire.net
Как ограничить доступ к файлам?
Очень часто возникает такая ситуация, когда за компьютером работает несколько человек и желательно, чтобы доступ к личным файлам и папкам каждого пользователя был ограничен для других пользователей. Можно вообще запретить доступ, а можно его разграничить: например, одному пользователю требуется открыть полный доступ, другому – только для чтения, а кому-то вообще запретить.
Зачем это делать, наверное, каждый из вас понимает и без моих подсказок. А вот как правильно ограничить доступ к файлам в windows 7, знают не все. Поэтому разберем этот процесс очень подробно.
ограничение доступа к файлам и папкам в windows 7
Для начала, конечно же, необходимо определиться с объектом, доступ к которому будем ограничивать. Итак, выбрали файл или папку и действуем по следующему алгоритму:
1. Кликаем по объекту (файлу или папке) правой кнопкой мыши и выбираем пункт “Свойства”.
2. В открывшемся окошке выбираем вкладку “Безопасность”. Именно в ней и определяются права пользователей на доступ к конкретному файлу или папке.
В верхней области будут отображаться все пользователи или группы пользователей, созданных в системе. Кликнув по конкретному пункту, можно просмотреть и изменить права конкретного пользователя на данный объект. Чтобы полностью запретить пользователю “прикасаться” к конкретной папке или файлу, удалите его из верхнего списка.
3. Если у вам не получается удалить или изменить права конкретного пользователя, значит все его права наследуются от “родителя”. Чтобы все-таки получить возможность ограничивать права пользователя на конкретный объект, проделайте следующее: зайдите снова на вкладку “Безопасность” в свойствах файла и кликните по кнопке “Дополнительно” (под разделом отображения прав пользователя (см.рисунок выше).
Откроется окошко “Дополнительных параметров безопасности”:
Перейдите на вкладку “Разрешение”, если она не открылась у вас по умолчанию. Далее кликните по кнопке “Изменить разрешение”. Далее уберите галочку “Добавить разрешение, наследуемые от родительских объектов”, прочитав сообщение с предупреждением, кликайте по кнопке “Добавить”. А потом все время “ОК”, пока не вернетесь к вкладке “Безопасность” свойства файла.
Теперь можете без ограничений изменить права для пользователей на доступ к конкретному объекту.
значения разрешений доступа
Более подробно остановимся на значениях конкретных прав пользователей:
- Полный доступ – здесь все довольно просто: разрешено выполнение всех операций с объектом, в том числе изменение разрешения и становится владельцем объекта.
- Изменение – отличается от предыдущего пункта тем, что разрешено выполнять только базовые операции с объектом, т.е. чтение, изменение, создание и удаление объекта. Изменять же разрешение текущего объекта и становится его владельцем не разрешено.
- Чтение и выполнение – говорит само за себя: можно просматривать содержимое объекта и запускать программы.
- Список содержимого папки – то же самое, что и в предыдущем пункте, только относительно каталогов.
- Чтение – разрешено только просматривать объект.
- Запись – разрешается создавать файлы и записывать в них данные.
- Особые разрешения – это разрешения, которые устанавливаются, нажав на кнопку “Дополнительно”.
особые рекомендации при настройке прав доступа к файлам и папкам
- Советую вам обратить внимание на следующее:
- Если выставить флажок для разрешения с более высоким приоритетом, то автоматически выставятся флажки зависимых разрешений.
- Установка разрешения “Запретить” имеет более высокий приоритет, чем “Разрешить”.
- Изменяя разрешения для каталога, автоматически изменятся и разрешения для всех вложенных объектов (папок и файлов).
- Если определенные разрешения недоступны, значит, они наследуются наследуется от родительской папки.
- Если у вас отсутствуют права на изменение разрешений, то и все флажки вам будут не доступны.
- При изменении разрешений для групп (например: “Администраторы”, “Пользователи”, “Системные”), автоматически изменятся соответствующие разрешения ко всем пользователям данной группы.
- Не изменяйте разрешения для группы “Система”, это может нарушить работу операционной системы.
Изменяя разрешения для конкретного объекта, будьте внимательны и осторожны. Не изменяйте за один сеанс сразу несколько разрешений, обязательно проверяйте работоспособность системы после внесения изменений.
pc4me.ru
Смотрите также
Как ограничить права учетной записи
В операционной системе Windows пользователь учетной записи, которой присвоены права администратора, может задать ограничения прав пользователей других групп по осуществлению каких-либо операций с объектами конкретной папки. Кроме операций с объектами файловой системы в последние версии операционной системы добавлена возможность ограничивать время работы на компьютере конкретного пользователя и создавать список доступных ему программ.
Вам понадобится
- ОС Windows.
Инструкция
Если у вас есть права администратора, для введения ограничений на операции с объектами какого-либо каталога кликните в «Проводнике» нужную папку правой кнопкой мыши и выберите пункт «Свойства» в контекстном меню. Файл-менеджер откроет окно, в котором вам нужно перейти на вкладку «Безопасность» и нажать кнопку «Изменить», чтобы программа открыла еще одно окно.
В списке «Группы или пользователи» выделите строку, относящиеся к конкретной учетной записи или к группе, в которую она входит. Затем во втором списке расставьте разрешающие или запрещающие флажки напротив названий операций и нажмите кнопку OK.
Другой способ ограничения прав учетной записи реализован в версиях Windows 7 и Vista. Он назван «Родительский контроль» и позволяет устанавливать ограничения на время пользования компьютером и запуск компьютерных игр и программ. Чтобы получить доступ к настройкам этого инструмента администрирования раскройте главное меню, наберите «род» и щелкните по ссылке «Родительский контроль» в результатах поиска.
На экране появится один из апплетов «Панели управления» со списком зарегистрированных в этой операционной системе учетных записей — выберите ту, для которой требуется установить ограничения. В следующей загруженной системным приложением странице щелкните по ссылке «Ограничения по времени», если нужно задать разрешенные часы работы для этого пользователя. Апплет покажет сетку из часов дня и дней недели, в которой вам нужно отметить мышкой запретные периоды, а затем нажать кнопку OK.
Чтобы ввести ограничения на запуск игр щелкните по ссылке «Игры». Для полного запрета игр для этой учетной записи поставьте отметку в поле «Нет» у соответствующего вопроса. Если запретить нужно какие-то конкретные игры, воспользуйтесь ссылкой «Запрещение и разрешение игр». Другая ссылка — «Задать категории для игр» — содержит длинный список правил, которые позволяют с разной степенью детализации настроить фильтр разрешенных игр — от такого подробного как «упоминания или изображения табачных изделий» до абстрактного «Для всех».
Ссылка «Разрешение и блокировка конкретных программ» позволяет ввести ограничения на пользование установленными в системе приложениями. Щелкните по ней, а затем поставьте отметку в поле «может работать только с разрешенными программами». Апплету понадобится некоторое время, чтобы составить список программ, в котором вам нужно отметить флажками в чекбоксах разрешенные приложения. Затем нажмите OK и закройте окно «Панели управления».
Видео по теме
Источники:
- как ограничить права пользователя
Войти на сайт
или
Забыли пароль?
Еще не зарегистрированы?
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Ранее мы показали вам, как запретить пользователям ПК доступ к диалоговому окну «Свойства подключения к Интернету», чтобы они не могли изменять настройки DHCP и адрес DNS-сервера. С помощью встроенной оснастки Microsoft Management Console, называемой Редактор локальной групповой политики, вы можете определить широкий спектр ограничений использования системных компонентов, чтобы ограничить доступ пользователей к основным системным настройкам, а также к визуальным конфигурациям. Как и предыдущие версии Windows, Windows 7 позволяет запретить пользователям ПК изменять стандартные или указанные параметры персонализации рабочего стола, включая параметры темы, экранную заставку, звуки, фон рабочего стола и другие визуальные стили. В этом посте показан простой способ применения ограничения доступа пользователей о персонализации и визуальных стилях, чтобы пользователи ПК не могли изменять свои настройки.
Следующие шаги требуют входа в Windows 7 с правами администратора. Если вы вошли в систему не как администратор, сначала выйдите из системы и снова войдите в Windows через учетную запись администратора. После входа в систему откройте Windows 7 Начать поиск и введите групповая политика или gpedit.msc запустить Редактор локальной групповой политики.
Редактор локальной групповой политики разделен на две категории, а именно: Конфигурация компьютера а также Конфигурация пользователя. Чтобы изменить настройки персонализации по умолчанию, разверните Конфигурация пользователя с последующим Административные шаблоны. Теперь нажмите Панель управления выбирать Персонализация установочная папка. Это откроет все параметры, связанные с персонализацией, в главном окне, что позволит вам изменить параметры по умолчанию и применить ограничения в соответствии с требованиями.
В Персонализация Страница настроек содержит множество настроек объектов персонализации рабочего стола, включая цветовую схему, тему, визуальные стили окон и кнопок, заставку, цвет и внешний вид окна, фон рабочего стола, указатели мыши и многое другое. Если вы, например, хотите отозвать доступ к диалоговому окну «Фон рабочего стола», просто откройте Запретить изменение фона рабочего стола вариант и выберите Включено возможность запретить пользователю менять обои рабочего стола.
Точно так же вы можете запретить владельцам стандартных учетных записей пользователей изменять заставку, отключив Включить хранитель экрана вариант. Более того, если вы хотите принудительно установить определенную заставку для всех учетных записей пользователей, откройте «Принудительно определенную заставку», выберите «Включено» и затем укажите файл заставки, который вы хотите использовать для учетных записей пользователей. Помимо принудительного применения определенного файла визуального стиля в сети, у вас есть возможность загрузить определенную тему, не позволяя пользователям изменять указатели мыши, значки на рабочем столе, цвет и внешний вид окна.
Когда пользователи ПК открывают Персонализация диалоговое окно для изменения фона рабочего стола, звука Windows по умолчанию и т. д., эти параметры будут выделены серым цветом. Здесь стоит упомянуть, что, в отличие от других типов ограничений доступа Windows, персонализированные параметры не предлагают пользователям вводить пароль администратора для продолжения.
В случае, если вы установили определенную заставку, владелец стандартной учетной записи не сможет изменить предустановленную заставку. На следующем снимке экрана показан серый цвет. Заставка выпадающее меню.
Папка параметров персонализации включает в себя множество параметров персонализации рабочего стола и визуальной персонализации, которые вы изменяете, а также применяете ограничения на доступ к параметрам объектов персонализации. Вы также можете ознакомиться с нашим руководством по предотвращению доступа пользователей к Панели управления.