3

Мне нужно заблокировать Windows Vista Business PC. Одним из требований является то, что доступ к C:\Windows\System32\regedit.exe должен быть ограничен только (локальными) администраторами. Это автономный ПК, который не подключен к ActiveDirectory или чему-либо в этом роде.

Разрешения ACL по умолчанию на этом ПК для regedit:

regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI

Я попытался изменить владельца на "Администраторы" и снять флажок "Чтение и выполнение" для группы "Пользователи". Я полагаю, что мой пользователь все еще находится в локальной группе администраторов, и у него есть разрешения "Чтение" и "Чтение и выполнение" для regedit.exe. Однако, когда я пытаюсь открыть файл, зарегистрированный как пользователь с правами администратора, я больше не могу открыть regedit.exe, даже когда я щелкаю правой кнопкой мыши по "Запуск от имени администратора". Я получаю ошибку:

Windows не может получить доступ к указанному устройству, пути или файлу. У вас могут не быть соответствующих разрешений для доступа к элементу.

Что я не понимаю в доступе к файлам в Windows Vista? Какие настройки позволят пользователю в группе «Администраторы» открывать regedit.exe, но не другим пользователям?

2 ответа2

2

Ну ... если вы не заблокируете всю машину, ничего подобного просто не будет работать.

Существуют сотни сторонних инструментов, которые позволяют редактировать реестр.

Однако, если вы просто хотите отключить базовый доступ к защите regedit, откройте редактор реестра и перейдите к HKEY_CURRENT_USER \ Software \ Microsoft \ CurrentVersion \ Policies и создайте Dword с именем DisableRegistryTools и значением 1 .

И сделано!

0

К сожалению, вы не можете сделать это для всего реестра, но поместите всех пользователей, которым вы не хотите иметь доступ, в новую группу, затем дайте этой группе разрешение "отказать" этой программе regedit.exe и всем остальным, что вы делаете. не хочу их трогать. Запрет будет отменять любые другие разрешения, которые вы ранее установили. Вы можете ограничить их слишком сильно, если вы делаете это в определенных папках, и "ломать" некоторые программы, так что проверьте это, если вы это сделаете.

Так как он унаследует разрешения, вам нужно будет перейти на расширенный уровень и снять этот флажок, а затем при появлении запроса нажмите кнопку «Копировать». Это копирует унаследованные разрешения, но создает их там.

Как уже указывалось, это не остановит знающего пользователя, но остановит большинство.

Если вам действительно нужно заблокировать компьютер для конкретного пользователя, я рекомендую эту программу (это действительно удивительно):

http://www.fortresgrand.com/products/f101/f101.htm

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .