Я хотел бы знать, каковы лучшие практики для создания учетной записи ограниченного пользователя в системе Windows 7, во многом как пользовательская среда в Linux, где у вас есть суперпользователь и другие обычные пользователи. В конечном счете, я бы хотел, чтобы обычный пользователь Windows был ограничен тем, чтобы касаться чего-либо в разделе, где установлена Windows (включая папки WIN, файлы программ и т.д.), Чтобы он был заблокирован только в чем-то вроде домашней папки и разрешений для требуется для всего, что является более сложным (установка, настройка и т. д.).
2 ответа
4
Оставленный в конфигурации по умолчанию, учетная запись с разрешениями USER в Windows 7 будет иметь эффект, который вы описываете, gmunk.
Контроль доступа пользователя (UAC) и права по умолчанию для учетной записи USER устанавливают разрешения учетной записи более или менее точно, как вы описали. Никаких специальных настроек не требуется.
ОБНОВИТЬ:
Это зависит. Как всегда.
В зависимости от того, что вы делаете с компьютером, ваши требования безопасности будут меняться.
- Это домашний компьютер, который будет единственным компьютером в доме? Добавьте некоторое антивирусное программное обеспечение, и все в порядке.
- Это корпоративная рабочая станция? Если корпоративная сеть защищена должным образом, безопасность отдельных рабочих станций в сети менее важна и, как правило, немного отключена для обеспечения связи с остальной частью сети.
- Это рабочий стол, который не будет перемещаться и всегда будет подключен к одной сети? Вероятно, где-то между корпоративной настройкой и домашней установкой для одного компьютера. Вы захотите иметь возможность обмениваться принтерами и, возможно, файлами и медиафайлами между компьютерами, поэтому вам нужно убедиться, что они доверяют друг другу, но не принимают сообщения от ненадежных компьютеров, а также от более надежного антивируса.
- Это ноутбук, который будет путешествовать? Вы будете хотеть действительно, очень сильную безопасность. На компьютере установлен локальный брандмауэр (с брандмауэром Windows все в порядке, но вы можете предпочесть что-то другое) и хорошее антивирусное программное обеспечение.
- Должен ли пользователь иметь возможность устанавливать вещи? Вероятно, не на основе вашего вопроса.
3
Чтобы более подробно остановиться на моем комментарии, ваш вопрос несколько смущает меня, так как я предположил, что вы хотите знать о Windows 7.
В Windows 7 учетная запись администратора (эквивалентная root в Linux) по умолчанию недоступна для прямого использования. Поэтому обычно у вас есть учетная запись с правами администратора (эквивалентно тому, что вы находитесь в /etc/sudoers). Этот пользователь может выполнять задачи от имени администратора , подтверждая приглашение UAC .
Обычные пользователи не смогут выполнять какие-либо административные действия. Кроме того, вы можете управлять правами доступа в файловой системе для каждой учетной записи пользователя или группы пользователей, так же, как в Linux.
Относительно вашего желания обеспечить повышение привилегий паролем. Насколько мне известно, это невозможно (по замыслу). Как вы, возможно, знаете, в системах Linux ваша авторизация повышения привилегий на некоторое время кэшируется. Поэтому, если вы используете sudo и авторизуетесь самостоятельно, если вы используете sudo снова через несколько секунд, вам не нужно будет снова вводить пароль.
На Windows это не так. Вы должны подтвердить эту подсказку каждый. не замужем. время.
Так что это уже чертовски раздражает (тоже по замыслу). Я думаю, что архитекторы Windows решили не запрашивать пароль. Единственный раз, когда вы должны предоставить свои учетные данные, это когда вы входите в свою учетную запись. Архитекторы Windows решили, что этого будет достаточно.
Конечно, могут быть времена, когда ваши учетные данные запрашиваются снова. Например, при доступе к ресурсам по сети или при входе в определенные службы (SharePoint, SQL Server, ...), но этого и следовало ожидать.
Также обратите внимание, что в Windows есть утилита командной строки, которая эквивалентна sudo называемой runas которая может вас заинтересовать (лично я почти никогда ее не использую).