Запрет на изменение времени и даты юзером
28910
54
Собственно сабж
flopic
Как никогда лаконично. :ха-ха!:

Не соизволите ли более четко сформулировать задачу? :спок:
zed
Да чего туть формулировать. Надо запретить (вернее не запретить а отключить такую возможность) менять время и дату на компьютере. ОС ХР у всех юзеров есть права локального администратора т.е. он админ на своём компе.
Гдето в реестре было такое, а вот где не могу найти
flopic
Панель управления/Администрирование/Локальная политика безопасности/Локальные политики/Назначение прав пользователя/Изменение системного времени (список пользователей и групп...) чем не устраивает?
flopic
Так-то можно, но обладая правами администратора на этой машине политика правиться назад и возвращаемся к тому, с чего начали. :ухмылка:
Если есть домен, то делать это лучше через доменные политики.
P.S. Политики вносят изменения в реестр, так что напрямую в реестр лезть не стоит тогда, когда что-то модно сделать через политики.
flopic
Юзер тогда юзер, когда находится в группе юзеры (пользователи и группы). Если он там находится то ему по умолчанию запрещено менять дату и время.
Barlog
Так вот и проблема то в том что каждый пользователь имеет права админа на своей машине.
Хотя Вариант ZEDа подходит. Нет у нас таких пользователей которые полезут в панель кправления а тем более в администрирование.

Только вот ходить и править права на каждом компе лениво.:улыб:
flopic
п.9

У всех юзеров есть права юзеров, на то они и называются юзерами при правильной настройке.
В чем заключается разница в "запретить" и "отключить такую возможность"?
Человеку который не сможет изменить время\дату будет "одинаково плохо" и от запретить и от отлючить возможность.
flopic
Ну то, что вам лень - это уже чисто ваша проблема. Кто не умеет работать головой, тот обычно работает ногами.:миг:
Простой юзер с правами администратора - это обезьяна с гранатой. Вы никогда не можете гарантировать что он чего-то там не сделает или куда-то там не полезет. Не сделает и не полезет он только в одном случае - когда у него не будет таких прав, которые позволят ему это сделать.
Jerals
Я Вас понял ещё в первом посте.
Я же вроде понятно написал что каждый юзер на своём компе имеет права администратора, я конечно против это, но начальство настояло. Поэтому и хочу отключить функцию настройки системного времени, а то очень смекалистые юзеры переводят дату назад чтобы 2 гис работал, а установить с сервера последнюю версию видимо религия не позволяет. И их совсем не волнует то что при откате даты блокируется HASP и становяцца недоступными сетевые сервисы. От того что я отклоючу настройку времени всем будет только "одинаково хорошо"
Barlog
Абсолютно с Вами согласен но так уж заведено в этой фирме.
flopic
И их совсем не волнует то что при откате даты блокируется HASP и становяцца недоступными сетевые сервисы.
Эту проблему можно решить административным путем.
Barlog
т.е. издать приказ по предприятию типа "кто время на компе переведёт уволюнах"?
Barlog
Так-то можно, но обладая правами администратора на этой машине политика правиться назад и возвращаемся к тому, с чего начали.
Да без бэ... :agree:
Но каков вопрос-таков ответ.
После моего недвусмысленного намека о подробностях в ответ про домен не было ни слова - рабочая группа там, мест на 10, плюс-минус маненько туда-сюда... зуб даю :tease:.
zed
Давай. тут домен и 20 машин :tease:
flopic
Если есть домен, то перечитай мой прост про доменные политики.
flopic
Правильно настроенный домен не пускает в себя с отключенной службой синхронизации времени... И доменные политики, как мне склероз не изменяет, превалируют над локальными.... Так что правим политики и тестируем - должно заработать, хотя сам как-то так не пробовал делать...
flopic
А какого ж х.... :зло:

Админ, ё...

Ну рой доменные политики тогда примерно в том же направлении..

Я тя, кажется, по-русски спросил про подробности?
СФОРМУЛИРУЙ ЗАДАЧУ КОРРЕКТНО!
А именно: какой домен? какие клиенты? Чо есть? Чо хочу?
zed
у юзера есть локальные права из чего следует что есть и доменные я думал что всем будет понятно.
PS. зуб по почте вышлешь или факсом?
Mad_Dollar
Правильно настроенный домен не пускает в себя с отключенной службой синхронизации времени... И доменные политики, как мне склероз не изменяет, превалируют над локальными.
Вот именно. Тем более, что это настройки по умолчанию. :ухмылка:
Mad_Dollar
И доменные политики, как мне склероз не изменяет, превалируют над локальными....
А мне кажется что наоборот
Mad_Dollar
Правильно настроенный домен не пускает в себя с отключенной службой синхронизации времени...
Дело то в том что юзер меняет время после входа в домен и уже после этого домен отказывается с ним работать, поэтому и отключил всем эту возможность
flopic
Учи мат. часть. :death:
Порядок применения политик: локальные - сайтовые-доменные-организационной единицы. Последнее что применяется и имеет силу. За исключением политики паролей. тут только доменная.
flopic
Ну и в чем проблема? Оштрафовал пару юзеров за процесс восстановления преднамеренно порушенного и все... И вообще как было уже сказано - это неправильный подход - наличие прав локального админа. Вы тогда получается так сказать "главный юзеровед" а не админ компании...
flopic
А мне кажется что наоборот
Админ, ё... :death:
Сам-то подумай, просто из рациональных соображений, какой бы смысл был в доменах, ежели б локальные политики были главнее?
Тебе кажется. Учиться, учиться и учиться. (с) В.И.Ленин :зло:
flopic
а то очень смекалистые юзеры переводят дату назад чтобы 2 гис работал
Ёшкин кот, и из-за чего весь сыр-бор... :eek:
Тут не юзеров, тут админа увольнять надо. ИМХО :ухмылка:
zed
2гис это причина, смотрите глубже на следствия
flopic
Господи.... Ну для этого есть в домене групповая установка msi-пакетов.... И вечно новый бубль-гис вас спасет... Тогда уж боритесь не с последствиями а с причиной...
flopic
Причина - это обладание простыми пользователями на локальных компьютерах админскими правами. А все остальное следствие.
Хотя я бы и это тоже назвал следствием неправильной организации сети. :ухмылка:
flopic
2гис это причина, смотрите глубже на следствия
Ни-фи-га. 2гис и проблемы с HASP'ом - это следствие. Я смотрю глубже и вижу ПРИЧИНУ в другом. :спок: :хехе:
Barlog
Види те ли все пользователи сети не простые юзеры, а главные сцуко конструкторы, которые постоянно то сносят то устанавливают компас или меняют автокад с 07 на 04 и наобарот. Повер юзерами они тоже не хотят быть.

Что сеть неправильно построена я знаю но бороцца с этим не могу :хммм:себе дороже выйдет :шок:
flopic
Что значит не хотят. Есть определенные правила, и решения тоже можно найти в рамках ПРАВИЛ. Админ вы или эникейщик который тупо за ними поправляет?
flopic
Види те ли все пользователи сети не простые юзеры, а главные сцуко конструкторы,
Видите ли, вот лично я работаю на крупном промышленном предприятии. И у нас заведено так, что генеральный, сцуко, директор :eek: по правам в домене - обычный юзер. Я уж за всяких там главных конструкторов вообще молчу... Ну и группы всякие в доменах придуманы тоже неспроста.

Дык а Вы объясните этим всем страшно генеральным конструкторам, что типа не царское это дело - с одной пиратки автокада на другую скакать. А лучше не конструкторам, а директору. Иначе НИЧЕГО ПУТНОГО не получится. Гарантировано. А крайним будете всегда лично Вы. Бо у Вас, как всегда (по словам Генеральных Кострукторов, каждый из которых круче трёх С.П.Королёвых :ухмылка: ), нихрена сеть не работает. :хммм:
flopic
Тогда кури GPO на организационную единицу.
P.S. А эти "главные сцуко конструкторы" они в свои машины тоже лазят когда захотят и движки там меняют на какие захотят? Масло там переваливают когда им вздумается? Или они предпочитают чтобы их иномарки обслуживали в автосервисе? Если так, то почему они думают, что они могут вот так вот спокойно что-то менять в своем рабочем инструменте (т.е. компьютере)?
Mad_Dollar
я вот тоже начал сомневаться в своей "админности" *пошел писать правила пользования корпаративной сетью, сетью интернет и электронной почтой*

-----------------
Тут такая фигня, я работаю в этой фирме совсем недавно, а до этого здесь админа вообще небыло. Небыло домена, были только пароли 12 или 123. Вы не представляете сколько было шума из за того что теперь при входе в систему нужно брать аккорд и запоминать пароль из минимум шести символов. Также большим открытием были сетевые диски и сетевая печать (почти у каждого свой принтер, у кого небыло носили печатать документы на флешке). Так что воспитательной работы у меня выше крышы.
zed
каждый из которых круче трёх С.П.Королёвых :ухмылка: ), нихрена сеть не работает. :хммм:
В дырочку! :agree:
Barlog
Сань, поправочка е...
Главные, сцуко, конструктора масло меняют на СВОИХ, сцуко, иномарках. И они вольны его менять там, где им захочется, бо хозяин-барин.
А вот рабочие, сцуко, компы этим главным, сцуко, конструкторам, как правило, не принадлежат ни разу. Так шта....
flopic
я вот тоже начал сомневаться в своей "админности" *пошел писать правила пользования корпаративной сетью, сетью интернет и электронной почтой*
Ну вот! :live:
Грамотно все сформулировать и провести приказом по конторе.
И ненавязчиво начинать внушать директору, что пираццкий софт чреват ЛИЧНО для него как минимум финансовыми проблемами (это я про смену версий Автокадов жутко генеральными конструкторами намякиваю :улыб:)
Barlog
Но суть ты понял
Да уж много лет тому как... :ха-ха!: :agree:
Barlog
Причина - это обладание простыми пользователями на локальных компьютерах админскими правами. А все остальное следствие.
Хотя я бы и это тоже назвал следствием неправильной организации сети. :ухмылка:
Простите, а как быть, там где наличие админских прав у пользователя это требование? Не всегда все так однозначно
gde_mon
Если требование админских прав контролирует не админ, то что-то с консерваторией не то...
tpi
п.9

Не будте столь категоричны, могу привести кучу примеров где необходимы админские права для выполнения служебных обязанностей. Нельзя одними тех. средствами рулить сетью, необходим и административный ресурс. Поэтому считаю утверждение - "сеть где есть админские прова у пользователей, не правильная сеть", несостоятельным.
gde_mon
Можете считать абсолютно как вам заблагорассудится, но тезис
"сеть где есть админские прова у пользователей, не правильная сеть"
с поправкой на орфографию - выстрадан и абсолютно правилен. Если есть какая-то, к примеру, группа программеров-разработчиков - ради бога, выделяйте их в отдельный сегмент (домен, OU, куда угодно, пусть они сами у себя рулят как хотят). Но ОБЩАЯ сеть должна админиться из одного центра. Точка. Иначе - бардак неизбежен.
zed
п.9

А зачем кого то куда то выводить, если у них есть только локальные прова? :безум: Реч не о том что, надо давать права или отбирать, а о том что одних тех. средств недостаточно нужен еще и административный ресурс.
gde_mon
А вот с этим утверждением
Нельзя одними тех. средствами рулить сетью, необходим и административный ресурс.
спорить не буду. :agree:
gde_mon
Уважаемый, перечитайте топик еще раз. Вопрос об административном воздействии тут уже поднимался.

А вот за то, что бездумно тыкаете в "Циатата" в следующий раз карать буду более жестоко. :зло:
flopic
хотите патчег шоб бубльгис не зависел от даты?