SteadyState — изменить тип учетной записи в Windows
При распределении прав доступа в Windows возникла задача изменить тип созданной учетной записи пользователя на тип с ограниченными правами, но почему то вкладка «Обычный доступ»(Windows 7) или «Ограниченная запись» (Windows XP) оказалась закрыта.
Выяснилось что по умолчанию чтобы создать учетку с ограниченными правами, необходимо чтобы уже был пользователь с правами Администратора, кроме самого Администратора.
Но что если у нас один пользователь и нам совершенно не хочется плодить кучу учетных записей в нашей Windows?
Есть решение этой проблеме, называется Windows SteadyState.
Windows SteadyState — бесплатная программа от Microsoft, позволяющая расширенно управлять правами пользователей в системе, имеет большой функционал возможностей.
Но вернемся к нашей проблеме, нам необходимо сделать одного пользователя с «ограниченная запись» или «обычный доступ», для этого создадим еще одну учетную запись с именем Test к примеру с правами администратора, которая позволит выставить вашей учетке ограниченные права. После чего ставим «Ограниченная запись» или «Обычный доступ» в зависимости от версии Windows вашей учетке.
А теперь самое главное как нам удалить нашу запись Test. Для этого нам и пригодится Windows SteadyState.
Заходим в установленный SteadyState по ярлыку на рабочем столе, и видим 2 записи Вашу и Test
Windows steadystate
Заходим в Test (если система спрашивает пароль, оставьте это поле пустым и жмите ОК, так как пароль мы не создавали для этой учетки) и нажимаем Удалить пользователя.
steadystate
Все, готово, теперь в нашей системе кроме Администратора один пользователь с ограниченными правами.
Программа SteadyState может использоваться не только для этой цели, она имеет большой функционал по разграничению прав доступа, советую полистать по вкладкам SteadyState и посмотреть на что она способна, думаю вы найдете для себя полезные функции.
Посмотреть официальное руководство по программе можно здесь «Руководство Windows SteadyState» на русском языке
Замена SteadyState в Windows 7
Многие образовательные организации поддерживают физические (не виртуальные) студенческие компьютеры, которые необходимо восстанавливать до состояния «как новый» после каждого занятия. Для Windows Vista и Windows XP эту функцию выполняла бесплатная программа Microsoft под названием SteadyState, но в Windows 7 она отсутствует. В этой статье я хочу показать, как можно создать собственную функцию SteadyState в Windows 7 редакций Enterprise и Ultimate
Одна из моих любимых функций виртуальных машин — моментальные снимки. Хотите протестировать что-нибудь сомнительное в виртуальной машине без риска необходимости последующего восстановления системы? Создайте моментальный снимок! Моментальные снимки — не просто удобная возможность. .
Функцию создания моментальных снимков и восстановления физической системы Window 7 можно реализовать, комбинируя две технологии, описанные мною ранее: загрузку с VHD в Windows 7 Enterprise/Ultimate (в статье «Загрузка Windows 7 Enterprise и Windows 7 Ultimate из файла VHD», опубликованной в Windows IT Pro/RE № 4 за 2011 год) и реализованную в упомянутых выпусках операционной системы собственную поддержку типа файла VHD, называемого «разностным диском» (в статье «Diskpart для создания моментальных снимков физической и виртуальной систем» в № 9 за 2010 год).
Во-первых, создайте загрузочный образ VHD для своей настольной системы. Для этого воспользуйтесь процедурой, описанной в статье «Создаем загрузочный диск VHD», опубликованной в № 3 за 2011 год. Назовите загрузочный файл baseimage.vhd. Этот файл обязательно должен быть расширяемым, а не фиксированного размера, иначе вы не сможете создавать моментальные снимки. Сделайте baseimage.vhd вторым вариантом загрузки на своем компьютере, как описано в материале «Создаем загрузочный диск VHD», для чего скопируйте этот файл на компьютер и поместите его в папку C:\VHDs.
Во-вторых, с помощью команд Bcdedit, о которых говорится в статье «Загрузка Windows 7 из файла VHD», настройте вашу систему на загрузку из файла baseimage.vhd. Выполните новый вариант загрузки с baseimage.vhd и приведите систему к нужному виду, прежде чем сделать ее моментальный снимок.
Теперь настало время создать моментальный снимок. Чтобы сделать возможной загрузку из baseimage.vhd, сохраняя способность отмены любых изменений в файле baseimage.vhd, необходимо сделать так, чтобы этот файл оставался неизменным, а все изменения отражались в другом файле VHD. Для этого создайте новый VHD (не расширяемый, не фиксированный, но разностный VHD), ассоциированный с baseimage.vhd. Система Windows рассматривает исходный VHD как родительский, а новый разностный VHD — как дочерний файл. Однако дочерний VHD нельзя создать для активного родительского VHD, поэтому перед созданием дочернего файла для baseimage.vhd перезапустите систему, загрузив исходный образ Windows на диске C компьютера, чтобы высвободить файл baseimage.vhd. Теперь откройте программу Diskpart и введите следующую команду:
Далее с помощью команд Bcdedit, которые использовались для настройки загрузки системы из файла baseimage.vhd (то есть второго варианта загрузки), создайте третий вариант загрузки из C:\vhds\snapshot1.vhd.
Выполните третий вариант загрузки, и с этого момента файл baseimage.vhd будет оставаться неизменным, а все изменения будут отражены в файле snapshot1.vhd. Впоследствии можно изменять систему как угодно, а для возврата в состояние, предшествовавшее созданию моментального снимка, достаточно будет выполнить первый вариант загрузки, открыть командную строку с повышенными привилегиями и ввести следующие команды:
После выполнения третьего варианта загрузки ваша система вернется в базовое состояние. Как и прежде, все новые изменения будут отражены в файле snapshot1.vhd. При необходимости возврата в исходное состояние просто повторите указанные выше команды и вновь выполните третий вариант загрузки.
Для изменения файла baseimage.vhd существует два варианта. Можно выполнить второй вариант загрузки и внести нужные изменения (все они будут отражены в файле baseimage.vhd). Если же вас устраивают изменения, отраженные в файле snapshot1.vhd, и вы хотите сохранить именно этот вариант, выполните первый вариант загрузки и осуществите слияние файлов snapshot1.vhd и baseimage.vhd:
Конечно, процедура эта несколько громоздкая, но попробуйте, и вы убедитесь, что это жизнеспособная замена SteadyState. Что же касается недостатков, то в следующей статье я предложу еще несколько способов борьбы с ними.
Марк Минаси (www.minasi.com/gethelp) — старший редактор журнала Windows IT Pro, сертифицированный системный инженер по продуктам Microsoft
Поделитесь материалом с коллегами и друзьями
Windows SteadyState борьба с вирусами
Последние эпидемии вирусов снова показали, что проблемы информационной безопасности лежат не только в области разработки новых антивирусов. Необходимо применение превентивных мер.
Последние эпидемии вирусов снова показали, что проблемы информационной безопасности лежат не только в области разработки новых антивирусов. Необходимо применение превентивных мер. Да, все мы знаем, что на предприятии должна быть предусмотрена политика защиты от вредоносного программного обеспечения и антивирусные программы для устранения последствий соответствующих атак. Однако при этом забываем, что лучший полководец тот, кто выигрывает битву до ее начала. Понятно, что нельзя объять необъятное, поэтому в данной статье мы попытаемся рассмотреть ряд мероприятий, в результате которых нам удастся существенно снизить вероятность проникновения вирусов в систему.
Никогда не работать с правами администратора
Тривиальный совет, не правда ли? На первый взгляд да! Сколько администраторов читали, что работать нужно с минимальными правами, а подойдя к системе с Windows Vista, тут же отключали функцию User Account Control (UAC). Более того, необходимо минимизировать права. Не просто работать с правами обычного пользователя, а максимально ограничить права работой только с тем программным обеспечением, которое реально необходимо, а все остальное следует ЗАПРЕТИТЬ!
На мой взгляд, здесь стоит обратить внимание на два возможных пути:
Использование Windows SteadyState для ограничения прав пользователя
Программное обеспечение Windows SteadyState создано компанией Microsoft для ограничения прав пользователей на общедоступных компьютерах (университеты, школы, библиотеки, Internet-кафе и т. д.). Для обеспечения антивирусной защиты нам потребуются лишь некоторые из его функций, однако их хватит для ограничения прав пользователя. Данное программное обеспечение предназначено для работы под управлением Windows XP и Windows Vista, требования для его развертывания приведены в таблица 1 и таблица 2.
Настройка системы
Наиболее эффективным способом настройки системы является установка всего набора служб, функций и программ, необходимых для пользователя на данном рабочем месте. После установки Windows SteadyState можно добавлять или удалять программы, однако при этом следует отключить защиту диска Windows. Кроме того, необходимо по окончании изменить настройку всех параметров пользователя, чтобы учесть сделанные изменения.
Установка Windows SteadyState
Можно загрузить файлы установки для Windows SteadyState из центра загрузки Microsoft или с диска. Затем можно использовать мастер установки Windows SteadyState для установки Windows SteadyState на компьютер. Windows SteadyState можно установить только на компьютерах, на которых запущена подлинная операционная система Microsoft Windows.
Настройка Windows SteadyState
После установки необходимо настроить Windows SteadyState. Все параметры программы разделены на два типа:
В окне мастера настройки можно сделать следующее (экран 1):
После добавления нового пользователя вы сможете установить параметры его учетной записи.
Не забудьте заранее продумать, какие ограничения вы хотите установить! Далее можно установить ограничения Windows для данной учетной записи, функциональные ограничения и настроить блокировку программ.
Ограничения Windows
Вкладка «Ограничения Windows» показана на экране 2.
На данной вкладке задаются уровни ограничений, определяющие содержимое меню, а также средства и функции Windows XP (Vista), доступные пользователю. Для выбора ограничений можно использовать следующие уровни:
Кроме того, в разделе «Скрыть диски» можно указать, какие диски будут скрыты от пользователя в проводнике Windows. Стоит учесть, что при использовании сторонних файловых менеджеров пользователь может обойти это ограничение. Кроме того, можно скрыть принтеры и съемные устройства.
Функциональные ограничения
На вкладке, показанной на экране 3, можно выбрать следующие ограничения:
Блокировка программ
На данной вкладке можно настроить программы, с которыми сможет работать ваш пользователь (см. экран 4).
Вместе с тем стоит учесть, что для запуска того или иного программного обеспечения иногда возникает необходимость предоставить пользователю права локального администратора. Понятно, что это грозит крупными неприятностями вплоть до того, что пользователь сможет отменить применение групповых политик к своему компьютеру, однако, увы, до сих пор встречается программное обеспечение, которое просто не может работать под учетной записью с другими правами. Список программ, разработанных не корпорацией Microsoft, которые не работают с обычными совместно используемыми учетными записями Windows SteadyState, приведен в статье 307091 базы знаний Microsoft (http://go.microsoft.com/fwlink/? LinkId=83434).
Однако и тут есть выход — создание учетной записи администратора с ограниченными правами. Обращаю сразу внимание, что на компьютерах, работающих под Windows Vista, ограниченная в правах общая учетная запись администратора не является обязательной. Ограниченная в правах учетная запись администратора — это тип неограниченной учетной записи, разрешающий доступ к расширенным полномочиям, необходимым для запуска нестандартных приложений.
До того, как вы решите создать общую учетную запись администратора для своих пользователей, стоит задуматься вот о чем:
Если нет, значит необходимо создать подобную учетную запись. Если компьютер включен в домен, данную процедуру следует проводить с правами администратора домена.
Создание ограничений для администратора
Кроме того, может потребоваться ограничить доступ пользователя с некоторыми правами администратора к системным файлам и папкам с программами:
Windows SteadyState с Active Directory и доменами
Windows SteadyState была создана таким образом, чтобы работать в доменной среде так же эффективно, как и с компьютерами в составе рабочих групп. Вместе с тем стоит помнить, что большинство изменений и ограничений, доступных в Windows SteadyState, также доступны с использованием шаблона групповой политики (SCTSettings.adm), поставляемого вместе с Windows SteadyState. При установке Windows SteadyState на компьютеры с общим доступом, подключенные к домену, групповая политика более эффективна, чем Windows SteadyState.
Использование SCTSettings.adm
Windows SteadyState включает в себя шаблон групповой политики, который называется SCTSettings.adm. Он находится в папке ADM, которая, как правило, расположена в C:Program FilesWindows SteadyState. Этот шаблон воспроизводит большинство параметров, включенных во вкладку Windows SteadyState «Ограничения доступа к компонентам диалогового окна “Параметры пользователя”», и может использоваться для развертывания ограничений для пользователей, которые являются членами домена Active Directory.
Групповая политика для домена может быть настроена из консоли управления групповой политикой или с помощью редактора групповой политики, встроенного в оснастку «Active Directory — пользователи и компьютеры». В Windows XP консоль управления групповой политикой является дополнительной оснасткой, доступной для загрузки с сайта корпорации Microsoft. Консоль управления групповой политикой встроена в операционную систему Windows Vista. Добавив шаблон SCTSettings.adm к этим средствам, вы получаете доступ к ограничениям учетных записей и параметрам, соответствующим учетным записям на компьютерах с общим доступом.
Шаблон групповой политики SCTSettings.adm, включенный в Windows SteadyState, также предусматривает возможность установки таймеров принудительного завершения сеанса системы и отключения системы при простое, если на компьютеры установлена Windows SteadyState. Важно применить эти параметры только к определенным учетным записям, чтобы не ограничить учетные записи администраторов на компьютерах. В случае использования доменных групповых политик можно получить практически тот же результат (см. экран 5).
Однако хотелось бы предупредить, что решать задачу ограничения прав пользователей «с наскока» нельзя. Так как можно получить результат, совершенно противоположный ожидаемому. Перед тем как вы все же решитесь ограничить пользователей, соберите от руководителей отделов информацию о том, какое программное обеспечение используется на том или ином рабочем месте для выполнения служебного задания. Не забудьте установить срок окончания сбора таких записок, иначе дело затянется. А после этого запрещайте все, кроме того, что указано в служебных записках.
Далее, не забудьте обеспечить следующее:
Идеальным вариантом является хранение образов рабочих станций на сервере. Почему? В случае обнаружения вируса он не лечится, а станция просто «перезаливается» с сервера. Поверьте, так намного быстрее. Кроме того, существует целый ряд вирусов, использующих шифрование, и восстановить работоспособность после их атаки нелегко или практически невозможно! Правда, нужно учесть, что в таком случае проведение служебного расследования по факту вирусной атаки будет затруднено. Наконец, хочу просто напомнить, что чем меньше у пользователя прав, тем меньше соблазнов, меньше вероятность совершения ошибки, а значит, тем спокойнее вы будете себя чувствовать.
