Меню Рубрики

Установка программ пользователями с ограниченными правами

Как создать пользователя с ограниченными правами

Главная страница » Статьи » Windows » Как создать пользователя с ограниченными правами

Желательно, после установки операционной системы windows, создать учетную запись пользователя с ограниченными правами и работать под ней.

Как создать учетную запись с ограниченными правами?

Дополнительную учетную запись в windows 7 можно легко создать, нажав на кнопку «Пуск», перейдя в «Панель управления» и выбрать меню «Учетные записи»-«Добавление и удаление учетных записей пользователя».

В открывшемся окне снизу нужно нажать на строку-ссылку «Создание учетной записи». Стоит заметить, что создать учетную запись можно только из учетной записи, которая имеет права Администратора.

В новом окне необходимо ввести имя новой учетной записи, например «Андрей», отметить точкой права пользователя «Обычный доступ» и нажать на кнопку внизу окна «Создание учетной записи».

Для новой учетной записи обязательно нужно придумать пароль. Для этого по кликаем мышкой по ее ярлыку двойным щелчком, после чего нажимаем на строку-ссылку «Создание пароля». В открывшемся диалоговом окне вводим пароль, затем дублируем его в строке ниже и нажимаем на кнопку «Создать пароль».

Вот и все, новая учетная запись с ограниченными правами создана. Теперь пользователь, который будет из-под нее работать, не сможет ни запустить, ни удалить файлы, если не будет знать пароль администратора.

Чтобы зайти в компьютер под новой учетной записью, перезагрузка не нужна. Для этого всего лишь нужно нажать на кнопку «Пуск», после чего нажать на стрелку в меню «Завершение работы», и выбрать из выпавшего меню «Сменить пользователя». После выбора нужной учетной записи, нажатия на ее ярлык и введения пароля вы сразу же увидите свой новый рабочий стол.

Настройка учетной записи с ограниченными правами

Чтобы при запуске файлов или их удалении открывалось окно с предложением ввести пароль администратора для продолжения работы, а не предупреждение о том, что вы не можете установить программу, так как у вас нет административных привилегий, необходимо изменить степень контроля учетных записей.

Эта опция специально предназначена для уведомления пользователя, который собирается произвести какие-либо манипуляции, требующие административных прав.

Следует заметить, что настраивать учетную запись с ограниченными правами нужно только из-под учетной записи администратора, иначе вы ничего не сможете сделать.

Для этого нужно нажать «Пуск»-«Панель управления», затем нажав на меню «Система и безопасность», выбрать строку «Изменение параметров контроля учетных записей».

В открывшемся окне нужно поднять бегунок на вторую позицию сверху «Всегда уведомлять», нажать «Ок», и в следующем окне, которое всегда теперь будет появляться при попытках запустить или удалить файлы, нажать «Да».

Теперь у вас есть пользователь с ограниченными правами в windows.

источник

Установка программ пользователями с ограниченными правами

Вопрос

Все пользователи в домене входят в группу пользователи домена. 2-3-м пользователям переодически необходимо устанавливать программы (где-то 1 раз в месяц) на 3-4 компьютерах. Каким простым образом можно давать им это право на 2-3 дня а потом отбирать? Можно создать отдельную учетку с правами админа, но давать парва адина даже на время нет желания. Добавлять этого пользователя на каждом компьютере в группу Опытных пользователей или Администраторов, тоже нет желания.

Ответы

Можно создать группу в AD. Дать ей необходимые права на компьютерах пользователей и при необходимости включать\исключать из неё пользователей. Также можно попробовать распространять ПО при помощи групповых политик (это более трудоемкий вариант, но зато более контролируемый).

Я бы создал дополнительную учетную запись в Active Directory LocalInstallUser , череp GPO Restricted Groups включил бы этого пользователя в нужные локальные группы на необходимых компьютерах.

С войствах учетной записи можно можно задавать жизнь учетной записи (Вкладка Account ) Account Expire. Тут можно будет задавать время работы учетной записи.

Дать пользователям скрипты для установки программ:
к примеру: install.bat
runas /user:Domain_name\LocalInstallUser «setup.exe»

Научил бы пользователей запускать вместо привычного Setup.exe , необходимость запускать Install.bat
Он затребует пароль на новую учетку и запустит установку от его имени.

Но по мне гораздо проще будет публиковать приложения через GPO. Тогда пользователи , с обычными правами смогут устанавливать приложения. ТУТ

Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

Все ответы

Можно создать группу в AD. Дать ей необходимые права на компьютерах пользователей и при необходимости включать\исключать из неё пользователей. Также можно попробовать распространять ПО при помощи групповых политик (это более трудоемкий вариант, но зато более контролируемый).

Я бы создал дополнительную учетную запись в Active Directory LocalInstallUser , череp GPO Restricted Groups включил бы этого пользователя в нужные локальные группы на необходимых компьютерах.

Читайте также:  Установка двс и кпп на газель

С войствах учетной записи можно можно задавать жизнь учетной записи (Вкладка Account ) Account Expire. Тут можно будет задавать время работы учетной записи.

Дать пользователям скрипты для установки программ:
к примеру: install.bat
runas /user:Domain_name\LocalInstallUser «setup.exe»

Научил бы пользователей запускать вместо привычного Setup.exe , необходимость запускать Install.bat
Он затребует пароль на новую учетку и запустит установку от его имени.

Но по мне гораздо проще будет публиковать приложения через GPO. Тогда пользователи , с обычными правами смогут устанавливать приложения. ТУТ

Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

Есть два типа:

  1. Полностью замещает в членов в группе
  2. Добавляет новых членов в группу

Для управления:

  1. Идем в GPO — Computer Configuration — Polices — Security Settings — Restricted Groups
  2. Добавлям новую группу и выбираем ту AD группу или пользователя, которую нам нем добавить в локальную группу. Т.е. к выбираем к примеру G_LocalSubAdmin .
  3. В свойствах есть два типа
  • Members of this group — Замещает всех членов в выбранной группе
  • This group is member of — Только добавляет, никого не трогая из уже присутствующих. Именно сюда мы добавляем нужную нам группу например локальных администраторов, имеющих SID S-1-5-32-544.

Возможно поможет использование Well-Known SID для добавления пользователей

Таким образом мы добавили глобальную группу G_LocalSubAdmin в члены локальной группы администраторов на ПК, на которых применится данная политика. Теперь в группу G_LocalSubAdmin можно добавлять необходимых сотрудников, что даст им права локальных администраторов на нужных ПК. В вашем случае вместо группы будет пользователь, которому вы делегируете необходимые права. А в свойствах этого пользователя ограничиваете срок действия учетной записи. Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

источник

Как запускать программы, требующие права администратора, под учетной записью обычного пользователя

Многие программы при запуске требуют повышения прав (значок щита у иконки), однако на самом деле для их нормальной работы прав администратора не требуется (например, вы вручную предоставили необходимые права пользователям на каталог программы в ProgramFiles и ветки реестра, которые используются программой). Соответственно, при запуске такой программы из-под простого пользователя, если на компьютере включен контроль учетных записей, появится запрос UAC и от пользователя потребует ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Естественно, оба этих способа небезопасны.

Зачем обычному приложению могут понадобится права администратора

Права администратора могут потребоваться программе для модификации неких файлов (логи, конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно под администратором на уровне NTFS вручную назначить на папку с программой право на изменение/запись для пользователя (или группы Users).

Примечание . На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это вопрос уже о лени и некомпетентности разработчиков.

Запуск программы, требующей права администратора от обычного пользователя

Ранее мы уже описывали, как можно отключить запрос UAC для конкретной программы , с помощью параметра RunAsInvoker. Однако этот метод недостаточно гибкий. Также можно воспользоваться RunAs с сохранением пароля админа /SAVECRED (также небезопасно). Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC ).

Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\system32). При запуске regedit.exe появляется окно UAC и, если не подтвердить повышение привилегии, редактор реестра не запускается.

Создадим на рабочем столе файл run-as-non-admin.bat со следующим текстом:

cmd /min /C «set __COMPAT_LAYER=RUNASINVOKER && start «» %1″

Теперь для принудительного запуска приложения без права администратора и подавления запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.

После этого редактор реестра должен запустится без появления запроса UAC. Открыв диспетчер процессов, и добавим столбец Elevated (С более высоким уровнем разрешений), вы увидите, что в системе имеется процесс regedit.exe с неповышенным статусом (запущен с правами пользователя).

Читайте также:  Установка и настройка knoppix

Попробуйте отредактировать любой параметр в ветке HKLM. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKCU.

Аналогичным образом можно запускать через bat файл и конкретное приложение, достаточно указать путь к исполняемому файлу.

Set ApplicationPath=»C:\Program Files\MyApp\testapp.exe»
cmd /min /C «set __COMPAT_LAYER=RUNASINVOKER && start «» %ApplicationPath%»

Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте следующий reg файл и импортируйте его в реестр.

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker]@=»Run as user without UAC elevation»
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command]@=»cmd /min /C \»set __COMPAT_LAYER=RUNASINVOKER && start \»\» \»%1\»\»»

После этого для запуска любого приложения без прав админа достаточно выбрать пункт « Run as user without UAC elevation » в контекстном меню.

Переменная окружения __COMPAT_LAYER и параметр RunAsInvoker

Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

set __COMPAT_LAYER=Win7RTM 640×480

Из интересных нам опций переменной __COMPAT_LAYER выделим следующие параметры:

  • RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC.
  • RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора).
  • RunAsAdmin — запуск приложение с правами администратора (запрос AUC появляется всегда).

Т.е. параметр RunAsInvoker не предоставляет права администратора, а только блокирует появления окна UAC.

источник

Установка программ пользователями с ограниченными правами

Учетная запись с ограниченными правами предназначается для пользователей, которым должно быть запрещено изменять большинство настроек компьютера и удалять важные файлы. Пользователь с учетной записью с ограниченными правами:

• не может устанавливать программы и оборудование, но имеет доступ к уже установленным на компьютере программам;

• может изменять собственный рисунок, назначенный учетной записи, а также создавать, изменять или удалять собственный пароль;

• не может изменять имя или тип собственной учетной записи. Такие изменения должны выполняться пользователем с учетной записью администратора компьютера.

• Некоторые программы могут работать неправильно для пользователей с ограниченными правами. В таком случае следует изменить тип учетной записи на администратора компьютера, временно или насовсем.

Учетная запись гостя

Учетная запись гостя предназначается для пользователей, не имеющих собственных учетных записей на компьютере. У учетной записи гостя нет пароля. Это позволяет быстро входить на компьютер для проверки электронной почты или просмотра Интернета. Пользователь, вошедший с учетной записью гостя:

• не может устанавливать программы и оборудование, но имеет доступ к уже установленным на компьютере программам;

• не может изменить тип учетной записи гостя;

• может изменить рисунок учетной записи гостя.

• Учетная запись под названием «Администратор» создается в процессе установки системы. Эта учетная запись с полномочиями администратора компьютера использует пароль администратора, который был введен во время установки.

• Компонент «Учетные записи пользователей» находится на панели управления. Чтобы открыть компонент «Учетные записи», нажмите кнопку «Пуск», выберите команду «Панельуправления», затем дважды щелкните значок «Учетные записи пользователей».

Создание учетных записей

Необходимо иметь учетную запись администратора компьютера, чтобы добавлять на компьютер нового пользователя.

• Откройте на панели управления компонент «Учетные записи пользователей».

• Щелкните ссылку «Создать учетную запись».

• Введите имя новой учетной записи и нажмите кнопку Далее.

• Щелкните переключатель «Администратор компьютера» или «Ограниченная запись» в зависимости от нужной учетной записи, а затем нажмите кнопку «Создать учетную запись».

источник

Запретить пользователям установку или запуск программ в Windows 10/8/7

При желании вы можете запретить пользователям устанавливать или запускать программы в Windows 10/8/7, а также в семействе Windows Vista/XP/2000 и Windows Server. Это можно сделать с помощью определенных параметров Групповой политики , чтобы управлять поведением установщика Windows, запретить запуск или ограничение определенных программ через Редактор реестра .

Установщик Windows , msiexec.exe , ранее известный как установщик Microsoft, — это механизм установки, обслуживания и удаления программного обеспечения в современных системах Microsoft Windows.

В этом посте мы увидим, как заблокировать установку программного обеспечения в Windows 10/8/7.

Отключить или ограничить использование установщика Windows через групповую политику

Введите gpedit.msc в начале поиска и нажмите Enter, чтобы открыть редактор групповой политики. Перейдите к Конфигурациям компьютера> Административные шаблоны> Компоненты Windows> Установщик Windows. В панели RHS дважды щелкните Отключить установщик Windows . Настройте опцию как требуется.

Этот параметр может запретить пользователям устанавливать программное обеспечение в своих системах или разрешить пользователям устанавливать только те программы, которые предлагаются системным администратором. Если вы включите этот параметр, вы можете использовать параметры в окне Отключить установщик Windows, чтобы установить параметр установки.

Параметр «Никогда» означает, что установщик Windows полностью включен. Пользователи могут устанавливать и обновлять программное обеспечение. Это поведение по умолчанию для установщика Windows в Windows 2000 Professional, Windows XP Professional и Windows Vista, когда политика не настроена.

Читайте также:  Установка люстр 3 лампы

Параметр «Только для неуправляемых приложений» позволяет пользователям устанавливать только те программы, которые назначает системный администратор (предлагает на рабочем столе) или публикует (добавляет их в «Установка и удаление программ»). Это поведение по умолчанию установщика Windows в семействе Windows Server 2003, когда политика не настроена.

Параметр «Всегда» означает, что установщик Windows отключен.

Этот параметр влияет только на установщик Windows. Это не мешает пользователям использовать другие методы для установки и обновления программ.

Всегда устанавливайте с повышенными привилегиями

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Компоненты Windows. Прокрутите вниз и нажмите «Установщик Windows» и установите для него значение Всегда устанавливать с повышенными привилегиями .

Этот параметр указывает установщику Windows использовать системные разрешения при установке любой программы в системе.

Этот параметр расширяет привилегии всех программ. Эти привилегии обычно зарезервированы для программ, которые были назначены пользователю (предлагаются на рабочем столе), назначены компьютеру (установлены автоматически) или стали доступны в разделе «Установка и удаление программ» на панели управления. Этот параметр позволяет пользователям устанавливать программы, которым требуется доступ к каталогам, которые пользователь может не иметь разрешения на просмотр или изменение, включая каталоги на компьютерах с ограниченными правами.

Если этот параметр отключен или не настроен, система применяет разрешения текущего пользователя при установке программ, которые системный администратор не распространяет или не предлагает.

Этот параметр отображается в папках «Конфигурация компьютера» и «Конфигурация пользователя». Чтобы этот параметр вступил в силу, необходимо включить параметр в обеих папках.

Опытные пользователи могут использовать разрешения, предоставляемые этим параметром, для изменения своих привилегий и получения постоянного доступа к файлам и папкам с ограниченным доступом. Обратите внимание, что версия этого параметра в конфигурации пользователя не гарантируется как безопасная.

Не запускайте указанные приложения Windows

В редакторе групповой политики перейдите к Конфигурация пользователя> Административные шаблоны> Система

Здесь, на панели RHS, дважды нажмите Не запускать указанные приложения Windows и в открывшемся окне выберите Включено. Теперь под опциями нажмите Показать. В открывшемся новом окне введите путь к приложению, которое вы хотите запретить; в этом случае: msiexec.exe .

Это запретит запуск установщика Windows, который находится в папке C: \ Windows \ System32 \ .

Этот параметр не позволяет Windows запускать программы, указанные в этом параметре. Если вы включите этот параметр, пользователи не смогут запускать программы, добавленные вами в список запрещенных приложений.

Этот параметр запрещает пользователям запускать программы, запускаемые процессом Windows Explorer.Это не мешает пользователям запускать программы, такие как диспетчер задач, которые запускаются системным процессом или другими процессами. Кроме того, если вы разрешаете пользователям получать доступ к командной строке cmd.exe, этот параметр не запрещает им запускать программы в командном окне, которые им не разрешено запускать с помощью проводника Windows. Примечание. Чтобы создать список запрещенных приложений, нажмите «Показать». В диалоговом окне «Показать содержимое» в столбце «Значение» введите имя исполняемого файла приложения (например, msiexec.exe).

Запретить установку программ через редактор реестра

Откройте редактор реестра и перейдите к следующему ключу:

Создайте строковое значение с любым именем, например, 1, и установите его значение в EXE-файле программы.

Например, если вы хотите ограничить msiexec , создайте строковое значение 1 и установите для него значение msiexec.exe . Если вы хотите ограничить большее количество программ, просто создайте дополнительные строковые значения с именами 2, 3 и т. Д. И установите для их значений исполняемый файл программы.

Возможно, вам придется перезагрузить компьютер.

Также читайте:

  1. Запретить пользователям запуск программ в Windows 10/8/7
  2. Запускайте только указанные приложения Windows
  3. Windows Program Blocker — это бесплатное ПО для блокировки приложений или приложений, блокирующее запуск программного обеспечения.
  4. Как заблокировать установку сторонних приложений в Windows 10.

источник

Добавить комментарий

Adblock
detector