У меня есть компьютер с Windows 7 с двумя пользователями. Один из них - администратор, другой - пользователь с ограниченными правами.

Пользователь с ограниченными правами должен иметь доступ к Интернету, но не должен иметь доступа к общим сетевым ресурсам любых компьютеров в локальной сети. Лучше всего, если он даже не видит, что в локальной сети есть компьютеры и рабочие группы.

Администратор должен иметь нормальный доступ к интернету и локальной сети.

Как мне этого добиться?

РЕДАКТИРОВАТЬ:

Я не могу контролировать другие компьютеры в локальной сети.

Считаете ли вы, что достаточно оставить Home Group на этом компьютере?

2 ответа2

0

Вполне возможно, есть лучшие решения. Но вот один из них:

  1. Не предоставляйте этим пользователям разрешения на ваши общие ресурсы и даже не запрещайте их явно
  2. Отключите службу браузера компьютера для этого пользователя. Действительно примитивным подходом было бы отключить его, и, поскольку для его включения необходимо быть администратором, вы сами можете, а пользователь - нет. другим подходом будет сценарий входа / выхода, который это делает.
0

Это имеет гораздо больший ответ, чем вы можете ожидать, наполненный множеством переменных частей.

Во-первых, вам необходимо учитывать уровень знаний вашего "пользователя". Если высококвалифицированный пользователь (или хакер) может сидеть за компьютером ... мало что он / она может сделать. Технически подкованный пользователь может знать, как получить доступ к общим ресурсам напрямую, но, вероятно, не сможет сделать гораздо больше, если ему будет представлено основное сообщение "Отказано в доступе". Обычный пользователь не знает, как получить доступ к общему сетевому ресурсу, если для него не существует ярлыка.

Что вы подразумеваете под "сетевыми ресурсами"? Вы говорите о фактическом "сетевом ресурсе Windows" на отдельном Windows Server? Если это так, просто установите разрешения, чтобы разрешить / ограничить пользователей по своему усмотрению. Как правило, если у пользователя нет разрешений на общий сетевой ресурс, он не может получить к ним доступ. Просмотр \some-server \share приведет к дружественному запросу на вход в систему, требующему имени пользователя / пароля (если он не вошел в домен) или просто к сообщению "Отказано в доступе" (если он вошел в домен и не имеет разрешения). Разрешения могут быть назначены администратору, чтобы дать ему все, что ему нужно. Что касается "сокрытия", то это возвращается к уровню навыков, которыми обладает пользователь. Вы не можете фильтровать сетевые подключения по пользователю, только по IP-адресу, порту или другому атрибуту "сети". Как только сетевое соединение установлено, вы находитесь на уровне приложения, чтобы поддерживать безопасность. К сожалению, невозможно применить объект групповой политики к правилам брандмауэра для каждого пользователя.

Если вы хотите ограничить "внешний вид" общих сетевых ресурсов, вы можете немного поработать с групповыми политиками, которые могут затенить или ограничить просмотр различных сетевых ресурсов ... но это обсуждение может стать довольно длительным и на самом деле не должно быть сделано легко.

Если вы говорите о сетевом ресурсе на домашнем устройстве (маршрутизаторе? NAS? ???) с частично реализованным стеком SMB вы действительно зависите от производителя. Если он не запрашивает имя пользователя / пароль, вы мало что можете сделать.

Если вы говорите о чем-то еще ... нам нужно больше информации.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .