[Petya V4sechkin]

Цитата Химия_и_жисть:

теперь я не могу под админской учеткой войти в оснастку и добиться уже полного желаемого результата, т.к. даже вызов команды "выполнить" запрещен. Что можно сделать?

Пуск -> Все программы -> Стандартные -> Служебные -> Восстановление системы.

Цитата Химия_и_жисть:

ограничения доступа к управлению распространяются в ХР на всех

• [решено] Разграничение политик для пользователей
• [решено] Проблемы с настройкой групповой политики

[Химия_и_жисть]

запустил оснастку через командную строку..слава богу не успел её отключить...но теперь вот думаю как сделать так, чтобы ограничить права, при этом чтобы админская учетка могла делать всё что нужно админитратору ?

[Химия_и_жисть]

Petya V4sechkin,

в Ваших ссылках есть статья, которая в принципе подходит по действиям, которые нужны:

http://support.microsoft.com/kb/325351/ru

нно, после того, как создаются ограничения для пользователей, они подразумаевают не только лазание по сети, или по панели управления, там речь идёт и действительно об отключении команды "выполнить", убирания "диспетчера задач", в конце коцнов убирается "командная строка" и любой вариант редактирования, затем нужно выйти из админской учетки, залезть в скрытые файлы (которые по сути по политикам пользователей тоже ограничивают - это уже прокол варианта как такового,) скопировать оснастку в другое место, затем войти в админской учетке в оснастку (а вот тут пожалуйста, можно дать нормальный ответ - как это сделать, если при ограничении прав мы убрали даже командную строку? где мы будем запускать команду gpedit.msc ?? ) - сделать отмену всех ограничений, скопировать назад файл оснастки на прежнее место, заменив последний, и таким образом обойти разграничения для всех, а не только для одного, но как быть с теми затырками, что я привёл выше? неужели никого это не смутило, или все просто ограничивали права только поверхностно?

и есть ли возможно действительно убрать доступ к рабочей группе? т.е. чтобы он не мог заходить к другим пользователям по сети? конечно можно в политиках убрать сетевые подключения, сетевое окружения, но достаточно вбить в строку в проводнике ИП адрес другого компа, как он на него зайдёт!

[Химия_и_жисть]

кстати сейчас оснастка почему то сама вернулась в дефолт, т.е. ограничей снова нет...вообще какой-то идиотизм в этой ХР

может есть программа которая под админом вырежет пользователю возможность шастать по локальной сети? (инет оставить при этом) конкретно для одного компа

[Ripping Corpse]

Химия_и_жисть

А зачем, если не секрет, необходимо запретить пользователю видеть компьютеры в группе? Просто закрыть доступ к ним мало?

[Химия_и_жисть]

Ripping Corpse,

ну по сути, чтобы он не мог зайти ни на один комп в группе на их расшаренные папки...по моему проще запретить выход именно в группу

[WindowsNT]

Вообще нет. Имеет ли доступ некий пользователь (человек) к определённым ресурсам, определяет владелец ресурса.

Иными словами, это вы на тех конкретных шарингах должны побеспокоиться, чтобы к ним могли подключаться строго определённые группы. На конкретных целевых машинах.

[Химия_и_жисть]

WindowsNT,

т.е. возможности запретить именно конкретной машине выходить в сеть нельзя?
если честно - это странно, если нет такой возможности..обычная локалка, машин 30 примерно, но домена к сожалению нет, и сервака нет под него (и не предвидится), неужели я не могу ему просто отрубить сеть при помощи редактирования групповых политик, при этом не затрагивая админскую учетку (доп. вопросы по этому я описывал выше)

[WindowsNT]

Машине - можно. Отключите компонент Client for Microsoft Networks, вуаля. Но вы же просили пользователю, а это другое.
И вы должны считаться с рисками, что человек подключит в сеть свой мобильный компьютер и откроет ресурсы с него. Тогда вы поймёте, что ограничивать доступ нужно на уровне собственно шарингов + NTFS, при этом не раздаривая учётные записи направо и налево, а ограничения вашей конкретной машины не стоят и выеденного яйца.