Назад | Перейти на главную страницу

Новые учетные записи пользователей имеют «слишком много» прав Windows 7 Ultimate Edition SP1 x64

Я использую Windows 7 Ultimate Edition SP1 x64 (сборка 7601) в режиме WORKGROUP (Non-NT_Domain, Non ADDS environment). Я являюсь администратором этих машин и сети. Моя установка - это всего лишь несколько компьютеров (всего 4 раза, хотя планируется и больше), все настроены с одинаковыми / похожими настройками в локальной сети + Ограниченный доступ к Интернету отфильтрован / защищен брандмауэром через другой пользовательский маршрутизатор-устройство, отличный от Windows, ничего особенного, в основном настройки OOBE по умолчанию, никаких локальных GPO (пока ... ожидающих), ограниченная политика выполнения сценариев Powershell, UAC до максимального значения, брандмауэр по умолчанию (обрабатывается в другом месте), учетная запись администратора отключена.

На каждом компьютере есть несколько учетных записей пользователей и одна учетная запись «БОСС», которая является членом локальной группы администраторов. Проблема, с которой я сталкиваюсь, заключается в том, что Пользователи (некоторые из них подростки ... вздохнут) по умолчанию имеют слишком большой доступ к настройкам компьютера, включая файлы журналов /.журнал/.config файлы / WMI / CIM-Cmdlets / MMC / Powershell.exe / netsh.exe / CMD и т. д.

Что еще хуже (по крайней мере, из того, что я могу наблюдать / понимать, что меня расстраивает), Windows очень снисходительно «предполагает», что каждый новый пользователь, которого я создаю, теперь является новым «владельцем» машины: (чтобы прояснить, что я имею в виду например, последний пользователь, который меняет настройки сна / питания или Интернет-настройки -> Настройки прокси в CP, например, затем эти настройки применяются глобально и остаются «липкими» до тех пор, пока их не изменит какой-либо другой баггер. Независимо от погоды я установил это через МОЙ админ / Аккаунт босса)

Один надоедливый Пользователь однажды изменил домашнюю страницу IE на http: //www.b* ttl3guy.com шокер-сайт. Другой умный пользователь получил доступ к истории просмотров другого пользователя и получил доступ к своей электронной почте через фрагмент сценария Powershell, который он скопировал и вставил в эту консоль PowerShell Blue-Window-Console (даже если для exec-policy установлено значение Restricted, что, по-видимому, предотвращает выполнение только через файлы). Почему по умолчанию сбор системной информации WMI разрешен для всех пользователей? AFAIK, по крайней мере, на большинстве систем * Nix, даже BASH по умолчанию не разрешит какой-либо ерунда прохождения файлов / каталогов для основных пользователей. Кроме того, вы можете ограничить оболочки, доступные пользователям, и установить ограничения на такие вещи, как максимальное количество разрешенных процессов, а также систему шаблонов Skel. Извините, я остановлю Windows-Bashing ... Пользователям, очевидно, нужны их Candy-Cane Aero Desktop и mIRC и что-то под названием Win-Amp, так что ... (GroupPolicy - лучший способ установить эти ограничения?) ...

Я понимаю, что это в основном мои собственные недоразумения и не-Windows Exp. Я просто считаю, что * Unices легче приручить ...

Теперь я могу отключить CP через локальный gpedit.msc для не администраторов, но тогда пользователи могут просто обойти это ограничение, я уверен, что использую Win + R или Start -> cmd,% Windir% / System32 / *. Cpl или Powershell и т.д...

Мой вопрос: могу ли я настроить Windows, чтобы по умолчанию предполагалось, что каждый новый пользователь, которого я создаю, является злым злоумышленником из ада, а не новым «владельцем» машины (позволяющим изменять параметры питания / прокси и т. Д.)?

Кажется, я не могу найти хороших статей, не связанных с доменом AD.

Моя цель - система, в которой по умолчанию новые пользователи, которых я создаю, НЕ могут произвольно:

* По сути, полицейское государство *

Я понимаю, что локальная групповая политика, вероятно, могла бы выполнить все это, но без требуемой доменной инфраструктуры здесь не будет хорошо масштабироваться. Мне пришлось бы стать «внутренней сетью» и применить каждый GP к каждому ПК и поддерживать синхронизацию ... (я не понимаю, как работают шаблоны администратора. Я все еще исследую это на Technet. (.ADM, .ADMX) , .INF, .INI, .POL, какой ???). У кого-нибудь есть хороший образец под рукой или ссылка на хорошие документы по этому поводу?)

Или, возможно, FOSS GPO "Pusher", о котором я не знаю ...?

Любая помощь / информация / комментарии / указатели / примеры / образцы-конфигурационные файлы были бы очень признательны. :)

P.S .: У меня в основном только предыдущий опыт администрирования Unix / Sun-OS / Solaris / Fedora / GNU-Linux. Приносим извинения за неправильную / неправильно использованную терминологию Micro $ oft.

P.P.S .: I Admin System для небольшого молодежного центра без большого бюджета на установку MS-Domain / Server-ADDS Bloat -ware.

Я действительно пытаюсь придерживаться K.I.S.S. Директор ...

Спасибо,

и приветствия.

Венди П. Маршалл

Рассмотрите возможность установки машин в качестве киоска, см. http://blogs.technet.com/b/keithmayer/archive/2012/08/03/building-public-kiosk-stations-with-windows-7-and-windows8-itpro.aspx Есть ли причина, по которой каждому пользователю нужен собственный логин?