Jak co nejvíce omezit práva uživatele Windows?
Budu řešit zajímavý problém. Pro správce a administrátory by to měla být rutina.
Hodlám přestěhovat sestře, která žije v domě pro osoby s mentálním postižením počítač.
Sama umí přizpůsobený počítač ovládat.
Problém jsou ale hyperaktivní spolubydlící, kteří ji navštěvují v jejím pokoji.
Rádi vrtají do čeho je to jen možné. Pominu-li fyzickou stránku počítače (kabely, tlačítka na monitoru...)
Chci se bavit o maximálním možném zabezpečení počítače.
Respektive co nejvíce nastavit počítač staticky. To znamená znefunkčnit pravé tlačítko myši - kontextovou nabídku.
Znemožnit mazání jakýchkoliv souborů. Souborů na ploše a v nabídce Start.
V podstatě by měl počítač umožňovat spouštět jen některé hry na ploše pomocí zástupců.
A ani tyto zástupce by nemělo být možné mazat nebo přejmenovávat, měnit jim ikony a podobně.
Operační systém tam bude Windows Vista.
Už jsem něco googloval o této problematice a našel jsem program steadystate.
http://www.barts.cz/index.php/pocitace/sardware/20 -steadystate
Ale nezdá se, že by řešil všechny požadavky.
Zkus něco pohledat o kiosk mode...
http://backroom.bostonproductions.com/?tag=kiosk-m ode
její zástupci na ploše/ve start: read-only
kontextová nabídka je v registrech, snad to někde najdu.
To read-only jak nastavit hromadně pro všechny soubory a nabídku Start?
Zakázání kontextové nabídky mám: http://superuser.com/questions/262995/how-to-disab le-right-click-in-windows-xp-windows-7
Na ploše přidržet Ctrl a označit požadované zástupce, pak pravé tlačítko - Vlastnosti - Jen pro čtení
Nebo např. v Total Commanderu otevřít
%USERPROFILE%\Plocha
%USERPROFILE%\Nabídka Start\Programy
označit vše a pak v menu Soubor - Změna atributů
Díky.
Teď nemám možnost to zkoušet.
Myslíte, že když zatrhnu jen pro čtení, tak nebude možné ho mazat a přejmenovat?
A co zbytek náhodných souborů na disku?
Když se např. pomocí tento počítač dokliká někam do souborového systému... asi bude moci mazat, ne?
Urcite by nebol problem vytvorit obmedzeny uzivatelsky ucet (teda neviem ako Vysta).
Omezený účet je samozřejmost
svoje soubory a adresáře si smaže / přemístí.
daly by se dotunit práva k adresářům: procházet, ale nezapisovat.
edit: toho pravého myše by se mohlo týkat:
další restrikce: http://home.tiscali.cz/~cz144336/tipytriky/tiptrik _reg_1.html
zakázat spuštění programu: 323525
group policy: http://msdn.microsoft.com/en-us/library/ms815238.a spx
Steady State umí třeba i to, že na ploše je jediná ikona a nic jiného, než spustit tento program, s tím dělat nejde...
To slovo "počítač" na konci mi posadilo bradu dolu, z celkem luxusního usměvu :D
A jinak bych odpovedel - ja jsem to resil v DB - mel jsem vyuku psani pro nevidome a taky jsem nemel zajem, aby se v necem omylem hrabali apod. Nakonec vyhralo vlastni distro ubuntu a program po startu, uzivateli jsem krome programu nedovolil naprosto nic.
Nebylo by nejlepsi neco jako virtual destkop po startu - ci nejaka "launch" aplikace po z startu, ze které bych ho nechtel pustit.
Altarnativně ho nechat všechno modifikovat a dělat po každém restartu něco jako "rebuild" tzn třeba pokaždé opět natáhnout zalohu z Acronic.
MS nabizel nejakou funkci (skoly, internetove kavarny), ze jakakoliv zmena v pocitaci se na konci zahodila a po spusteni jsi dostal pocitac ve stavu, v jakem jsi jej spustil. Takovy snapshot.
Administrator mel pravo provedene zmeny potvrdit (aktualizace, zmeny konfigurace a nastaveni...)
Mpozna by tohle taky mohla byt cesta
To nebola funkcia MS, ale RADIX karty na doskach. Pomerne rozporuplna vec.
Ale jo, je to jedna z funkcí Steady State od MS. Uloží se aktuální stav OS a po každém restartu se všechny změny vrátí do tohoto výchozího stavu. Akorát když jsem to testoval, tak se mi ta prodloužená doba startu moc nelíbila, takže jsem zůstal u původní verze - jednou za 14 dní obejdu počítače a obnovím image. To mám za 15 minut hotové...
Myslim, ze prodlouzena doba startu by v tomto pripade moc nevadila. A je to vetsi jistota, ze se pocitac rozbehne a bude v poradku.