1

Можно ли в Windows создать учетную запись «полу-админ»? Например, возможно ли создать дополнительную учетную запись администратора с единственным ограничивающим фактором, заключающимся в том, что она ниже в иерархии разрешений, чем исходная учетная запись администратора (т. Е. Она не может ни убивать процессы, запущенные исходной учетной записью администратора, ни принимать права собственности на ее файлы , так далее.)

Я не могу найти каких-либо разговоров об этом в Интернете и не могу сделать это сам.

Это должно работать в теории. Если Windows NT поддерживает что-то подобное для серверов, то, конечно, это должно быть выполнимо и для обычной версии Windows 7, не являющейся корпоративной?

заранее спасибо

DTS

|источник

1 ответ1

2

TL; DR:

Сами разрешения не являются иерархическими в Windows, поэтому вы не можете назначать права в зависимости от «уровня» пользователя. Это индивидуальные разрешения, которые назначаются ресурсу для каждого пользователя. Диаграмма Венна - хорошая аналогия - если пользователь попадает в правильный круг, он / она может выполнить соответствующее действие.

Более подробно

В Windows каждый ресурс (файл, процесс, запись реестра и т.д.) Имеет список контроля доступа (ACL) с одной или несколькими записями, которые определяют, какие пользователи имеют какие разрешения для ресурса. Кроме того, вы можете (и должны) назначить разрешение группе и добавить пользователя в группу.

Администратор - это просто пользователь, который принадлежит к группе (администраторы), которая по умолчанию имеет все разрешения для всех ресурсов (ну, на самом деле, но это другой пост).

Существуют другие группы по умолчанию, которые имеют подмножество этих разрешений, которые могут соответствовать вашим требованиям:

Локальные группы: https://technet.microsoft.com/en-us/library/cc771990(v=ws.11).aspx

Группы Active Directory: https://technet.microsoft.com/en-us/library/dn579255(v=ws.11).aspx

Вы также можете создавать свои собственные группы, у которых есть подмножество разрешений, назначенных подмножеству ресурсов: https://technet.microsoft.com/en-us/library/cc754344(v=ws.11).aspx

Существует множество нюансов при настройке разрешений, чтобы они (1) имели ожидаемый эффект и (2) были ремонтопригодны, и я настоятельно рекомендую прочитать некоторые рекомендации, прежде чем углубляться в это, но некоторые общие указатели для разрешений NTFS:

  • добавлять пользователей в группы и назначать разрешения для группы (не для пользователя!)
  • используйте вложенные группы для лучшей организации, например U:BSmith -> G: Бухгалтерия -> G: PayrollUsers -> ACL
  • дать группам наименьшие привилегии, необходимые для выполнения работы, определенной группой
  • Разрешения аддитивны. Т.е., если пользователь принадлежит к двум различным группам, ему будет разрешено делать все, что может любая группа.
  • Запретить разрешения переопределить разрешения разрешений. Т.е., если пользователь принадлежит к двум различным группам, ему будет разрешено все, что может сделать любая группа, за исключением того, что любой группе будет отказано.

Если вы делаете что-то критически важное, я настоятельно рекомендую вам помочь с опытом работы. Есть много способов вызвать непреднамеренные побочные эффекты.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .