Xpoint
   [напомнить пароль]

Создание аккаунта, имеющего права "только чтение" везде

Метки: [без меток]
2008-07-06 18:42:33 [обр] Дмитрий Котеров(21/912)[досье]

Windows XP.

A. Возможно ли создать такой непривилегированный аккаунт, который по дефолту будет иметь права "только чтение" на все файлы и директории в системе, за исключением тех объектов, у которых запись ему явно разрешена?

B. Можно ли сделать аккаунт, который неявно не входит ни в одну группу, кроме Everyone? В частности, не входит в Users.

Поясню суть проблемы.

  1. Под Администратором создаю папку c:\test, не выставляя ей никаких особенных прав - все по дефолту.
  2. Создаю аккаунт X, не входящий ни в одну группу.
  3. После логона (интерактивного или сервисом, не важно) X почему-то может писать в c:\test (система свежая, только что установлена). Т.е. это по дефолту так. Странно?
  4. Присмотревшись, я вижу, что для директории c:\test унаследован ACE, позволяющий создавать новые файлы для группы Users. Но ведь X не входит ни в одну группу! Видимо, Users стала его группой неявно?

Я же хочу, чтобы X не имел права писать вообще никуда, пока ему явно это не разрешат. Вероятно, эта проблема решится, если как-то сделать так, чтобы X не входил неявно в группу Users, но как это сделать?

спустя 14 часов [обр] Алексей Севрюков(9/1292)[досье]
ИМХО. Что-то мне подсказывает что в несерверной оси это сделать не получится. Да и ждать такого уровня разделения прав в домашней оси мне кажется как то неестественно.
спустя 7 дней [обр] @RAB[досье]
  1. У тебя что стоит (Винда какая хоть)?
  2. Если ХР то попробуй правой кнопкой мышки на той самой папке и в свойствах в доступе убрать все галочки может поможет!
  3. Обычно если у тя стоит винда ХР это проблематично! Ставь сервер и подымай домен и все будет ОК!!!!
спустя 12 дней [обр] Дмитрий Котеров(21/912)[досье]
Спасибо за ответы, но не помогло.
Тем более, что разница между XP и 2003 Server IMHO мала, и механизмы разграничения прав в этих ОС одни и те же.
спустя 4 часа 8 минут [обр] Алексей Севрюков(9/1292)[досье]
Дмитрий Котеров[досье]
  1. Быть может если ни одна группа не назначена для аккаунта - ему автоматически дается группа Users. А что будет если создать свою группу и поместить этот аккаунт в нее явно?
спустя 3 дня [обр] Дмитрий Котеров(21/912)[досье]
Гипотеза, на самом деле, блестящая!
К сожалению, она не работает. Создал отдельную группу для юзера, эффект точно такой же.
Powered by POEM™ Engine Copyright © 2002-2005