Локальные политики безопасности в Windows - настройка и конфигурация
 

Как известно в групповой политики можно много чего запретить/разрешить пользователям подразделения, к которому применяется групповая политика. Это для домена.

А ежели у нас раб. станция W2KPro не в сети (напр. домашний комп), то нельзя ли для локальных пользователей создать политики аналогично как в домене. Согласитесь, иногда нужная вещь...

Аналог групповых политик W2KSERV в W2KPro
 

Конечно можно!
Start->Programs->administrative tools->Local Security Policy

Но это в Вин2000Проф...

Аналог групповых политик W2KSERV в W2KPro
 

Animal
Тока учти, не все, что работает под NTFS работает и на FAT-е.

Аналог групповых политик W2KSERV в W2KPro
 

Wolf, Локальная политика безопасности и Групповая политика - это абсолютно разные вещи. Я имел в виду другое - запусти gpedit.msc. Я хочу иметь РАЗНЫЕ настройки для РАЗНЫХ локальных пользователей изолированного компьютера W2K. А они (настройки) там единые для всех.

Для доменных пользователей это можно сделать, создав и применив разные групповые политики для разных подразделений. Соответственно пользователи из разных подразделений будут иметь разные групповые политики. Одним можно запретить менять рисунок раб. стола, другим - ограничить размер файла на диске. Я хочу тоже самое для изолированного компа W2K Pro.

CyMpak, я это знаю. Всегда использую NTFS, так что здесь нет проблем. Вопрос в другом.

Аналог групповых политик W2KSERV в W2KPro
 

Animal
простейший вариант, особенно если пользователй всего парочка, такой: запускать gpedit.msc под пользователем.
менее простой, но более универсальный - написать logon-script, тем более что не все есть в этих самых стандартных шаблонах политик.

Аналог групповых политик W2KSERV в W2KPro
 

Vasketsov, спасибо во-первых.

Я должен буду под каждым локальным пользователем войти и настроить групповую политику (возможно временно всключив его в группу Администраторы). После этого для каждого локального пользователя будет действовать разная групповая политика. Я правильно Вас понял?

Про более универсальный способ: logon-script - это сценарий входа во вкладке профиль? (я привык к русским Server'у и Pro)  Если да, то что там нужно прописать (касательно групповых политик)? Если нет, то что это и что там прописать?

Просьба ответить, т.к. в литературе этот вопрос практически опускается, а описан только для доменных пользователей. Заранее благодарен.

Аналог групповых политик W2KSERV в W2KPro
 

Animal
везде да.
как вариант логон-скрипта - можно выполнить
regedit.exe /s account.reg
а в account.reg все что надо написано для конкретного юзера.

Аналог групповых политик W2KSERV в W2KPro
 

Сергей (Vasketsov), последний вопрос.
Что в account.reg?
Т.е. я настраиваю скажем для определенного пользователя групповую политику. Далее лезу в реестр. Какую ветвь системного реестра я должен экспортировать в файл account.reg для дальнейшего использования в сценарии регистрации данного пользователя?

P.s. Прошу извинить за назойливость.

Аналог групповых политик W2KSERV в W2KPro
 

Animal
тут есть сложность.

сами по себе политики в большинстве своем находятся в software\policies и software\microsoft\windows\currentversion\policies.
если их выполнять в логон-скрипте, они будут выполняться с правами пользователя, а у пользователя прав на те ключи быть не должно (только на чтение).

как вариант - в hklm\software\microsoft\widnows nt\ currentversion\ winlogon есть параметр system, все что в нем записано - выполняется под системной учетной записью, вот там их и надо выполнить.

Аналог групповых политик W2KSERV в W2KPro
 

Сергей (Vasketsov), спасибо. Только-что проверил. Информация верна (и полезна!). Но не ясна ТЕХНОЛОГИЯ работы...
Изменял групповую политику на своей рабочей станции и в HCU\software\microsoft\windows\currentversion\policies добавлялись строковые параметры. А если я зайду под другим лок. пользователем, входящем(временно) в лок. группу Администраторы, запущу gpedit.msc, то изменения затрут старые настройки (так?). Предположим я экспортировал перед изменениями ветвь реестра (см. выше) в файл 1.reg. После изменения я экспортировал ту же ветвь реестра в файл 2.reg.
Что я должен дальше делать (как можно подробнее), чтобы для пользователя User1 задействовалась ветвь реестра, сохраненная в 1.reg, а для User2 и User3 задействовалась ветвь реестра, сохраненная в 2.reg? Условие: лок. пользователи UserX не входят в лок. группу Администраторы. Если не трудно, напишите ответ для данного примера.

Достал уже наверное Вас, но хочется уже раз и навсегда окончательно разобраться.

Аналог групповых политик W2KSERV в W2KPro
 

Так у него же другой HKCU будет - нифига не затрутся.

Вообще заморачиваться с логон-скриптами стоит только либо в случае частой смены политик, либо в совсем жестком варианте по количеству юзеров. Попробуй просто дать юзеру админские права, порулить ему политиками, и потом отобрать админские права.

А изменять тоже можно их легко.
Положим, сидишь под собой - админом.
Даешь юзеру админские права.
Запускаешь под ним gpedit.msc.
Правишь че надо.
Закрываешь gpedit.msc.
Отбираешь права.
Все, готово.

Аналог групповых политик W2KSERV в W2KPro
 

Большое спасибо!
А можно работая под администратором HKCU других пользователей посмотреть/поправить, не заходя под ними?

Если не будет ответа, я не буду обижаться, т.к. чуствую, что достал уже человека, а полученной инфы хватит для моих целей.

Аналог групповых политик W2KSERV в W2KPro
 

Animal
Реестр править можешь, а вот политики ИМХО нет :(

Аналог групповых политик W2KSERV в W2KPro
 

Dmitry Sher
Политики считываются приложениями из реестра, они только храниться могут отдельно, так что не все так плохо.

Animal
Запускаешь regedt32 - там у него Load Hive в меню есть - выбираешь из той папки, в которой профиль юзера, файл реестра - открываешь его, спросит имя - пиши любое, хоть имя юзера, после редактирования не забудь выгрузить, встав на него. Вроде как для этого привилегии кое-какие надо, типа backup/restore, но это ведь не проблема?

Аналог групповых политик W2KSERV в W2KPro
 

Спасибо. Теперь абсолютно все понятно.

Аналог групповых политик W2KSERV в W2KPro
 

Проблема такая, что когда я меняю политики для файла gpedit.msc то они меняются и для админа, и толку в таких политиках нет, т.к. то что я запретил делать юзеру не могу сделать сам :(

Аналог групповых политик W2KSERV в W2KPro
 

Guest
Прочитай все внимательно, что в этом топике написано.

Аналог групповых политик W2KSERV в W2KPro
 

не хочу громко кричать, но ...
vasketsov

по моему gpedit/msc применяется локально для группы - т.е. еслт юзверю дать прова админи, и под ним настроить политика - то для админи она тоже будеть действовать

Animal
 файлы политик локаль находятся в C:\WINNT\system32\GroupPolicy,
кроме того есть старый добрый способ - poledit? работае как для пользователей так и для групп(оно и понятно), только файл политик надо локально зафигачить, и в реестре сделать ссылку на него...

Аналог групповых политик W2KSERV в W2KPro
 

FreeWind
А кто будет тиражировать изменения в одном HKCU для других юзеров? Да и когда запускаешь gpedit.msc, никакого вопроса про то, к какой грудде применять изменения, не задается. Так что Вы ошибаетесь.


Нет, там только шаблоны политик, которые отображаются в gpedit.msc. В этом аплете mmc также имеется возможность прицепить другие шаблоны и отцепить имеющиеся, чтобы они не отображались. В нашем случае информация об установленных ограничениях будет храниться в реестре в HKLM и HKCU запустившего пользователя.

Можно ли перенесни установки системных политик с одного компа на другой?
 

10 компов Win2k в рабочей группе - в домен не входят. Установил на одном запреты и разрешения Груповых политик с помощью gpedit.msc. Теперь те же самые политики нужно выставить для всех остальных компов. Можно ли как-то перенести их с одного компа на все остальные, не выставляя вручную по одтельности на каждом компьютере?

З.Ы. Сорри за возможно глупый вопрос...

а какие настройки вы указывали в локальных политиках?
Настраивали только режимы безопасности? - тогда можно использовать консоли MMC - Security Templates и Security Conf and Analysis - это не сложно.
а если и Административные шаблоны и сценарии - то просто не особо получится.
поищите поиском в разделе по словам gpedit.msc, полезнее будет узнать.

Что касается административных шаблонов пользователя, то они (как мне ажется хранятся в файле - параметре реестра пользователя - в каталоге профиля файл ntuser.dat - можно его покопировать в профиль по умолчанию (default user) на других компах - тогда ограничения будут применяться для учетных записей, которые будут скопированы с измененного этого профиля.
А вот АДМ шаблоны компьютера - применяются чуть ли не в самом реестре. Может только (тут HKEY_LOCAL_MACHINE\SOFTWARE\Policies и тут HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies) может сразу в других ветках..

изначально удобнее вашу задачу бвло решить - настройкой одной станцией и ее клонированием. сейчас это без домена - не почти не применимо, так структура одноранговой сети и рабочей группы такую функциональность не имеют ( разве что через импор шаблонов безопаснсоти - см 1й абзац).

вот нашел кое-чего для вас:
fix! Аналог групповых политик W2KSERV в W2KPro

В большинстве настраивал политики из ветки Конфигурация пользователя - Административные шаблоны...

vasketsov,
Выполняться будет опять таки для всех кто входит на машину. В том числе и администратор.

Решение предоставил сам Microsoft ссылка

Для организации на 5-7 человек, работающих на удаленке это самый адекватный способ администрирования.

Мне, как обычному пользователю такая информация не известна, поэтому понял вас иначе.

Обычному пользователю такая информация:

— известна.

побуду некропостером :)
метод MS по ссылке Farxat на Windows 7 будет работать? Может есть другие способы разрулить политику юзера и админа на локальной системе?

sovransky5, на Windows 7 есть куда более удобный вариант. Начните отсюда: Использование множественной локальной групповой политики.

Iska, спасибо большое, изучаю