Eddig W98 am volt most pedig Win2000 ret használok.
Magyar szöveg pdf,doc,txt (Vagy annak címe ahonnan letölthető)kellene amiből meg lehetne tanulni beállítani rendesen az oprendszert.Eddig minden kínai benne.Az NT tanfolyam meg drága.
A multkori ötletem nem vált be: ha valaki Guest, akkor nincsen profile-ja, ha volt akkor törlődik...
A másik meglátás: akár ntuser.dat akár ntuser.man, akár read-only akár read-write, mindenképp íródik, tehát ha felcserélem az egér gombjait, az lgközelebb is fel lesz cserélve...
"Ha a usernek nincs local admin joga, nem menti el az NT a desktop beállításait újraindítás után visszajön az eredeti."
Ezt mégis hogy érted? Ezek szerint ha van egy user, annak a beállításai nem maradnak meg?
Ez elég fura lenne, mert akkor minek csinálna minden usernek ntuser.dat-ot az nt? Ugyanis abban a fileban vannak letárolva a profile beállításai, és ezeket megőrzi, bejelentkezéskor be is tölti az nt. Vagy netán én nem tudom jól, mcp létemre?
Ha azt akarod, hogy a profile ne módosuljon, akkor nevezd át a dat-ot man-ra. Ezzel csak annyit változtatsz, hogy nem mentődnek a beállításai a profile-nak.
Még valami. Ha a usernek nincs local admin joga, nem menti el az NT a desktop beállításait újraindítás után visszajön az eredeti. De így sok progi nem fut, érdemesebb a desktop -ot írásvédetté tenni a c:\winnt\profiles könyvtár ha jól tudom, userenként le tudod írásvédeni.
Ezt már régen csináltam azt hiszem nem hülyeség.
Végszükség esetén az ikonokat is tudod védeni, a Recycle bin törölhető/elrejthető a desktop-on (drag and drop) stb.
Csak csínján azzal az NTUSER.DAT file-lal. Ha jól tudom, rejtett system file. Az NT reparáló progik ezt kezdik előszön analizálni, és az oprendszer mindig nyitva is tartja (hiszen épp be vagy jelentkezve).
Kiszerelve és áttéve másodlagos hdd-nek a winchestert az átállítás megoldható, de szvsz 90% hogy az egész nt-től ezentúl egy kék halálra fogja futni.
Rendszergazdaként sok hálózatot menedzseltem, de ezt a fájt szépen mindig békénhagytam.
A control panel beállításait a rendszer még ha jól tudom mindig .cpl file-okban tárolja, ha ezeket eleve csak azok látják akiket akarsz, eleve nem lesz control panelje szegény parasztkának... Ez nem jobb?
Főleg másodlagos védelemként eleve a control panel-t mint programot véded le. Aztán editálja parasztka -ha elfelejtetted elrejteni- a control panel bináris file-jait.
Sőt harmadikként vannak szoftverek amik egy windows-os exe-t jelszóval indulóvá tudnak átkonvertálni, így a control panel-t is...
Negyedik: minden olyan file-t amit tutira védeni akarsz, de nem mersz/nem akarsz hozzányúlni (regedit), szépen gyalu le a HDD-ről csak az exe-t(move a szerverre, hátha később kell)...
Úgy látom, hogy %USERPROFILE%\NTUSER.DAT-ot kellene -írásvédetté tenni
-bejelentkezéskor automatikusan felülírni
Egyik sem sikerült, az első nem tudom miért (illetve nem írhatja, de mégis írodik :), a második pedig kiírja, hogy file is in use...
Help, please!
(Még egy ötlet... valahogy berendezzük a figura Desktop-ját, azután tesszük őt a Guests-be... hátha ez azt jelentené, hogy nem módosíthat permanensen... (ld 13-as hozzászólás)... hétfőn kipróbálom)
Ettől bátorságra kaptam és a C: -ot is átálakítottam (convert C: /FS:NTFS /V persze újraindítást igényelt, de megcsinálta jól).
Jogosultságok:
C: Everyone=(RX)(RX),DerekUsers=(RWXD)(RWXD),Administrators=(All)(All)
C:\TEMP: Everyone=(RWXD)(RWD),DerekUsers=(RWXD)(RWXD),Administrators=(All)(All)
(egyenlőre ne futasson programokat a TEMP-ből, azután majd meglátjuk...)
Ha minden igaz, a file-okat már megvédtük a lelkes felhasználóktól, de azt hogyan érjem el, hogy például a háttérképet/képernyővédőt ne tudja átállítani, az egeret ne állíthassa balkezesre stb... mivel nem hiszek az UFO-kban, azt gondolom, hogy ezek a beállítások is valaminő file-ban vannak, csak azt nem tudok hogy melyikben, és hogyan tudja mégis írni...
Most látom, hogy ez így nem jó, ugyanis akárhányszor bejelentkezik a paraszt, mindíg úgy fogadja az NT, mintha ez lenne az első bejelentkezése...
tehát kiveszem a Guests-ből, berakom a Users-be, ellenben létrehozok egy DerekUsers című csoportot, abba berakok mindenkit, akit szeretek, csak a parasztot nem, és a DerekUsers-nek adok Change jogot az E:-ra.
Na ez már jobb...
Köszi, akkor most megpróbálom szépen lassan, hogy késöbb is tudjam, mit csináltam (Egy külön gépen csak ezért átkonvertáltam egy FAT-es partíciót NTFS-re)
1) E: Properties
2) Ownership: Owner=Administrators ez így jó
3) Permissions: Everyone: Full Control (All)/(All) na ez nem jó... itt jön az amit írtál, hogy egyrészt a két checkboxot (Replace Permissions on Subdirectories, Replace Permissions on Existing Files) be kell billenteni, másrészt a Type of Access -t vagy a listából kell választani (No Access...Full Control) vagy pedig a Special Directory Access -t és a Special File Access -t is ki kell tölteni (ezt tegnap nem tettem meg...) Szóval legyen az Everyone -nak Read (RX)(RX) joga..
3) OK: erre nekiesik a partíciónak elkészül, próba cseresznye: a rendszergazda sem tud file-okat törölni/létrehozni/felülírni
4) Akkor adjunk az Administrators-nak Full Control-t (All)(All), A Users-nek meg Change-t (RWXD)(RWXD)-t (a paraszt ebben a csoportban nem lesz benne)
5) Ez is sikerült
6) Létehozom a paraszt nevű felhasználót, nem tagja a Users-nek, tagja a Guests-nek, jelszót nem cserélhet, a jelszó sosem jár le, Home könyvtára a C:\TEMP
7) paraszt bejelentkezik, tényleg nem rongálhat az F:-en, nem szerezhet Ownershipet, eddig jó...
A kovetkezo cuccrol megfelejtkeztunk :-)))
Ugyanis vannak fileok es konyvtarak, amikre az alap beallitas a security fulben (amivel kezdtem vegulis...) az "everyone full controll" Marpedig ebbe a paraszt is beletartozik...
Szedd le az everyone-t, rakd be a parasztkat read-re es list-re, valamint magadat is :-))) de a legjobb, ha csinalsz get grouppot:
egy parasztkat, akinek semmi joga nem lesz,
es egy ordinary-t (lecserelendo az everyone-t), akinek ugye lesz.
Az elobb billentyut ragadtam, hogy megoldjam a cuccot, es ez olyan jool sikerult, hogy nem tudtam mint admin belepni a konyvtarba (parasztka bezzeg tudott, de ott valtoztatni semmit sem :-) )
Persze azert konnyen visszaallithato, mert mint admin, megmarad a jogod, hogy a konyvtarat subkonyvtarastul visszaallitsd olvashato/irhatova....
Megtaláltam, nem is kellene tudnia, oszt mégis... lehet hogy az egész biztonságosdit valahol külön be kellene kapcsolni? (Talán azt még nem is mondtam, hogy ez csak WorkStation)
Itt valamit nagyon elszurtal akkor, mert azt alapbol csak Administrator tud.
A Program files / Administrative tool / User managerben A Policies Menuben van a User rights menupont.
Ott vannak felsorolva a cuccok, pl. Jogok elvetele... ezt csak Administratori group tud.
(alul van egy kis beixelni valo, ott vannak az advanced user rightsok is :-) )
Tehat vagy a user van benne az admin csoportban, vagy itt van megadva, hogy mindenki (vendegek is) tud ilyet csinalni (csunya dolog egyebkent... :-) )
Probaként létrehoztam egy paraszt nevű usert, csak a Vendégek csoport tagja. Az a furcsa tapasztalatom, hogy gond nélkül tud könyvtárakat "Saját tulajdonba vétel"-ezni, jogosultságokat állítgatni... ezt hogyan lehetne kikapcsolni?
ja persze! ... :-) A temp fileokra nem gondoltam :-))) Azt hittem a rendszer mukodesehez szukseges fileokra gondolsz :-)
Persze, a tempeknek kell egy konyvtar... de az megoldhgato, hogy aztan indulasnal torolve legyenek, mint ahogy hazudik... :-)
Hazudik: ha kiprobalod, lokj ide egy par sort a tapasztalatokrol, kivancsi vagyok ra (de ahoz lusta, hogy kiprobaljam :-) )
Szoval a fentiek alapjan minimum a
/WinNT/profiles/usename konyvtarnak valamint a /WinNT/Temp es /WinNT/Temporary Internet files konyvtarnak kellene irhato-olvashatonak lennie (asszem...)
Köszönöm a sok jó ötletet, de nagyon nem szeretnék n*100 embert userként felvinni, Domain Controllert és más fekete mágiát üzemeltetni... kanka javaslatát ki fogom próbálni, hátha jutok vele valamire...
Lehet, hogy tévedek, de a linux ( habár én inkább FreeBSD-t használok ) is a user nevében tesz le bizonyos dolgokat ( tmp file-ok ). Ezt nem tudja majd leírni az NT se.
Erre gondoltam en is, mikor irtam, hogy nem tom mukodni fog -e a felhasznalonak a gep.
Bar kicsit furcsallom, hogy a rendszer a felhasznalo neveben akart irni rendszerfileokat :-)) Ez eleg gazos...
Most itt nem a Windowst akarom szidni, de kepzelj el egy Linux rendszert, ahol a demonok mint az adott felhasznalo altal elinditott programok futnak... jujjj... meg elkepzelni is rossz :-)
NT4 szerver, PDC (de ajánlatos csinálni egy BDC-t is, ha nem akarsz gutaütést kapni, ha fullra elszáll a szervered), domain strukiba persze, roaming profillal (szerintem a man. túlzás - lehet, hogy nem vagyok elég paranoiás?), policy gépre és groupra, a szerveren egy vinyón személyes dir a júzereknek /sajnos kvótázni azt nem tudsz :(((/, a roaming profilra nekem az 5 mega kicsinek tűnik, persze ez attól is függ, melyik progi mit szemetel bele, hogy van a levelezés stb(pl. outlokk expr. dbx filéjai, stb), mely könyvtárak mozgását tiltod le, etc, etc. Sok sikert!
Van egy olyan is, hogy ha egy meghajto / folder properties (tulajdonsag) -eit (-ait) nezegeted, talasz egy security fulet fent.
Ott szepen beallitod, hogy csak olvasni tudjak (gondosan beikszeled a subdirectoryt is), oszt ugy lesz. Ennek elofeltetele, hogy NTFS particio legyen, mert FAT16 -on ez nehezkesen lenne megoldhato.
Mivel meg nem probaltam, ezert nem tom, hogy a rendszer az adott felhasznalonak mukodni fog -e, szerintem igen.
Hol van ez a suli? Csak mert ha Bp, akkor esetleg személyesen is segítek.
Amúgy meg csinálj egy domaint ( már ha engedik az anyagiak, hogy vegyél egy gépet, amiben nagy vinyó van ), és policy-t kell írni.
Minden tanulónak saját azonosító kell, mandantory profile ( csak a szerveren lehet profile-ja, az is max 5 mega, és a lokális gépen nem is jön létre profile, viszont a temp-be tud írni, amit a következő bejelentkezéskor le lehet törölni ).
Ha ez nem megy, akkor is működhet a policy, de úgy minden gépre külön meg kell írni.
Iskolánkban a tanórai munkához használt gépeken Windows NT vagyon, minden tanuló ugyanazzal az azonosítóval dolgozik, (elméletileg) nem hagyhat semmit a gépen, nem cserélhet jelszót, nem állíthatja át a háttérképet, nem kalózkodhat a registryben stb... a gyakorlatban vannak olyan lelkes informatikus-palánták, akik után a fene se ismerne a gépre...
Két ötletem vagyon, amihez tanácsot várok:
1) Korlátozás: sehova se írhassanak a saját "HOME" könyvtáruk kivételével; ne futtathassák a regeditet, stb...
(Egyvalamit már találtam is: "user can not change pasword" a User Management -ben).
2) Automatikus frissítés: valahányszor a gépet (újra)indítjuk, egy batch elindul és törli a figura összes file-ját (vagyis a HOME könyvtár tartalmát) és alaphelyzetbe hoz mindent, amit elronthatott... csak nem tudom hogy mi mindent ronthatott el...
(Most nem kérek a "linuxban ez úgy lehetne" szerű tanácsokból, NT van és kész :)
