Я ищу конкретные примеры того, что может и не может быть сделано ограниченным аккаунтом, а не расплывчатыми обобщениями. Например, запустите пакетные файлы / сценарии, но какие команды нельзя использовать? Какие области реестра могут быть затронуты (если таковые имеются)? Какие каталоги по умолчанию закрыты (если есть)?
3 ответа
4
Смотрите эти статьи от Microsoft:
- Ограниченные учетные записи пользователей могут защитить ваш компьютер с Windows XP при просмотре веб-страниц.
- Типы учетных записей пользователей.
С точки зрения файловой системы, вообще говоря, ограниченные учетные записи не могут записывать в большинство мест за пределами своей папки профиля. Например, папка Windows и Program Files запрещены.
С точки зрения реестра, вообще говоря, ограниченные учетные записи не могут изменять HKEY_LOCAL_MACHINE, только HKEY_CURRENT_USER.
2
Не так много;
Ограниченная учетная запись не может касаться ничего, что влияет на других пользователей на компьютере. Это означает, что нет доступа к c:\windows, нет доступа к другим пользовательским каталогам, нет изменений общесистемных настроек (хотя любые настройки для каждого пользователя удобны)
Ограниченные учетные записи также не могут устанавливать некоторые программы (в частности, те, которые должны интегрироваться с системой, чтобы функционировать - снова возвращаясь к точке, влияющей на других), но большую часть времени могут без проблем установить в свой собственный каталог (Интересный факт: Google Chrome устанавливается в локальный каталог, поэтому пользователи с ограниченными правами могут установить его даже без единого дополнительного шага)
Что касается пакетных файлов, вероятно, могут использоваться 99% команд, но то, что они могут делать, ограничено, опять же, локальным представлением.
Конечно, будут некоторые вещи, которые ограниченные учетные записи могут сделать, чтобы повлиять на других, но, в общем, они не должны быть - и не может ничего скрытого внутри них, как Virus.exe :)