Текущий архив: 2006.04.23;
Скачать: CL | DM;
Вниз
Ограничение доступа к Интету для выбранных локальных уч. записей Найти похожие ветки
← →
Джо © (2006-04-04 17:05) [0]Собственно, можно ли осуществить сабж стандартными средствами Windows XP Professional? Ну, и если можно, то как :)
Имеется в виду постоянное соединение с Интернетом, не модемное.
← →
Jeer © (2006-04-04 17:47) [1]осталось выяснить, что означает ограничение (скорость, время доступа, подмножество сайтов, etc)
← →
isasa © (2006-04-04 17:51) [2]А брандмауэр не смотрел?
(Деверсанты, жена, дети?)
← →
Джо © (2006-04-04 17:52) [3]
> [1] Jeer © (04.04.06 17:47)
Нет, просто интересует возможность организовать отключение какой-то из Network Connections для выбранных учетных записей. Я в этих материях разбираюсь плоховато, поэтому, сорри, видимо плохо объясняю "на пальцах".
← →
McSimm © (2006-04-04 17:54) [4]я не нашел.
включаю вручную :)
← →
McSimm © (2006-04-04 17:55) [5]и выключаю перед выходом из профиля / выключением компьютера
← →
Джо © (2006-04-04 17:55) [6]> [2] isasa © (04.04.06 17:51)
> А брандмауэр не смотрел?
Да со стандартным ничего такого не придумал, а желательно ничего не "воротить" сверх-сложного. В принципе, как решить задачу "криво" я представляю, достаточно разрешения нужным образом расставить для iexplore.exe & opera.exe etc. Но нет ли нормального способа? (Я подозреваю, что нет).
← →
McSimm © (2006-04-04 17:59) [7]
> решить задачу "криво"
нет, этот способ например мне никак не годится, даже если научится расставлять права на ieexplorer, так чтобы explorer продолжал нормально работать :)
слишком много "etc", причем не только на компьютере, но и в сети снаружи.
а следить в мое отсутствие за попытками тех или иных etc чего-то с кем-то соединится некому
← →
Джо © (2006-04-04 18:01) [8]> [7] McSimm © (04.04.06 17:59)
Да, решение с пермишенами для NTFS весьма "половинчато", если можно так выразиться. Я поэтому и спрашиваю, мож кто чего подскажет универсальное :)
← →
Джо © (2006-04-04 18:05) [9]В общем, ты прав, установка прав доступа для iexplore.exe ничего не дала, я мог бы и сам догадаться :(
← →
LexxX © (2006-04-04 18:05) [10]Джо © (04.04.06 17:05)
Собственно, можно ли осуществить сабж стандартными средствами Windows XP Professional?
Можно создать профиль оборудования и разрешить/запретить различным службам и оборудованию работать в каждом профиле. Это как вариант.
← →
Игорь Шевченко © (2006-04-04 18:07) [11]Джо © (04.04.06 17:05)
Я извиняюсь (сам не в курсе), а настройки встроенного firewall - они на все учетные записи распространяются или для каждой записи свои ?
← →
Джо © (2006-04-04 18:07) [12]> [10] LexxX © (04.04.06 18:05)
Интересная идея. А как можно связать учетную запись с профилем оборудования?
← →
Джо © (2006-04-04 18:10) [13]> [11] Игорь Шевченко © (04.04.06 18:07)
> Джо © (04.04.06 17:05)
>
> Я извиняюсь (сам не в курсе), а настройки встроенного firewall
> - они на все учетные записи распространяются или для каждой
> записи свои ?
Дык на все, вроде.
← →
Игорь Шевченко © (2006-04-04 18:14) [14]Джо © (04.04.06 18:10) [13]
Стандартными средствами вроде нельзя (подсказали знающие люди).
← →
McSimm © (2006-04-04 18:17) [15]>настройки встроенного firewall
общие.
и настройки экрана тоже, к большому неудобству (это тоже входит в ритуал начала / окончания работы).
OutPost мне тоже не удалось приспособить.
← →
Джо © (2006-04-04 18:17) [16]> [14] Игорь Шевченко © (04.04.06 18:14)
> Стандартными средствами вроде нельзя (подсказали знающие
> люди).
Ясно, спасибо.
Но если у кого-то есть идеи в пределах сабжа — с благодарностью выслушаю :)
← →
isasa © (2006-04-04 18:22) [17]Как вариант, писать скрипт с WMI и отключать ненужные интерфейсы в зависимости от сеанса пользователя.
Кроме этого, смутно вспоминаю, в Kerio Winroute Firewall что-то было?
← →
LexxX © (2006-04-04 18:24) [18]Джо © (04.04.06 18:07) [12]
А как можно связать учетную запись с профилем оборудования?
Не знаю... :(
Сам мучился подобной проблемой на работе, когда в мое отсутствие девочка-практикантка выкачивала весь трафик. Я целый день искал способы ограничения трафика или запрета выхода в интернет, но безуспешно. В конце концов удалил нафиг ее профиль с машины :))
← →
Джо © (2006-04-04 18:26) [19]> [17] isasa © (04.04.06 18:22)
> Как вариант, писать скрипт с WMI и отключать ненужные интерфейсы
> в зависимости от сеанса пользователя.
Гм... интересно :)
> Kerio Winroute Firewall что-то было?
Бог его знает, не пользуюсь.
← →
isasa © (2006-04-04 18:31) [20]Джо © (04.04.06 18:26) [19]
Кстати, таки да. Можно оформить как *.vbs, и запускать cscript.exe(wscript.exe). А можно вставить в проект Дельфи библиотеку типов, со всеми вытекающими.
Ну и на ключ Run сеанса злобного usera
← →
LexxX © (2006-04-04 18:31) [21]isasa © (04.04.06 18:22) [17]
Как вариант, писать скрипт с WMI
А есть ли информация по написанию подобных скриптов?
← →
isasa © (2006-04-04 18:37) [22]:)
Вот тут можно посмотреть
http://www.delphikingdom.com/asp/viewitem.asp?catalogid=698
← →
Чапаев © (2006-04-04 18:38) [23]Как вариант... Выставить пользователю неправильные настройки браузера (например, 127.0.0.1:1234 в качестве прокси-сервера), а затем запретить этому пользователю их менять. Не уверен, удастся ли так сделать не в домене.
← →
Джо © (2006-04-04 18:44) [24]> isasa ©
Отличная идея, но никак не могу наковырять в этом WMI работу с сетевыми интерфейсами. Никто не знает навскидку хоть от кудова плясать?
← →
isasa © (2006-04-04 18:54) [25]Попробуй поискать в MSDN. Ключевые слова
Win32_NetworkAdapter, Win32_NetworkAdapterConfiguration, Win32_NetworkAdapterSetting
← →
VirEx © (2006-04-04 18:57) [26]Win32_NetworkAdapter
Win32_NetworkAdapterConfiguration
← →
VirEx © (2006-04-04 18:59) [27]http://kladovka.net.ru/index.cgi?pid=list&rid=251
← →
Джо © (2006-04-04 19:01) [28]
> [25] isasa ©
> [26] VirEx ©
Спасибо!
← →
Volf_555 © (2006-04-04 19:15) [29]Предложу свои варианты.
Идеи заключаются в следующем:
1)
Программа сидит в памяти (без трэя) или в трэи, которая зарегистрировала себя под системным процессом (как точно это сделать на Delphi - не знаю, но знаю что можно :) ) и следит за действиями пользователя.
Под слежкой за действиями пользователя подразумевается:
- поиск окна с названием: "Подключение к <имя провайдера>". Если человек грамотный, он может переименовать это соединение и подключиться, так что надо брать первые 13 символов для проверки: "Подключение к"
- при нахождении этого окна ... (тут уже ваше дело: отослать сообщение на закрытие окна + спросить пароль. Если пароль верный, то подключиться к провайдеру самому - из Delphi. Или же просто закрыть найденное окно)
2)
Для подключения к интернету запускается специальная windows-кая программа (как её название - не помню...). Если знать название этой программы, то можно написать прогу, которая будет закрывать эту программу.
ИЛИ же - прописать имя этой программы в реестре.
Reg-файл:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\D isallowRun]
"1"="ИМЯ_ЗАПРЕЩЁННОЙ_НА_ЗАПУСК_ПРОГРАММЫ"
Вместо цифры 1 - может быть другая цифра - зависит от количества записей в этом разделе
← →
Джо © (2006-04-04 19:24) [30]> [25] isasa © (04.04.06 18:54)
> [26] VirEx © (04.04.06 18:57)
Эх, какая хорошая идея была :( Нашел в MSDN даже готовый скрипт отключения интерфейсов, работает прекрасно. Но: к сожалению, под ограниченной учетной записью ничего не отключает :(
← →
atruhin © (2006-04-04 19:26) [31]Я в свое время поступал следующим образом:
на файрволе запрещаю выход для всех кроме Opera.exe, а на нее устанавливаю права NTFS.
← →
Джо © (2006-04-04 19:29) [32]> [31] atruhin © (04.04.06 19:26)
> Я в свое время поступал следующим образом:
> на файрволе запрещаю выход для всех кроме Opera.exe, а
> на нее устанавливаю права NTFS.
Это жестоко :)
← →
atruhin © (2006-04-04 19:29) [33]>>Эх, какая хорошая идея была
Дак может наоборот в своем сеансе подключать на входе, на выходе отключать?
← →
atruhin © (2006-04-04 19:31) [34]>>Это жестоко :)
Почему? Для всех я конечно утрировал :), Opera, The bat, TC, антивирус, но суть понятна, чем решение не устраивает?
← →
Джо © (2006-04-04 19:49) [35]> [33] atruhin © (04.04.06 19:29)
> >>Эх, какая хорошая идея была
> Дак может наоборот в своем сеансе подключать на входе, на
> выходе отключать?
Надо подумать...
← →
Джо © (2006-04-04 19:58) [36]Такс, идея вроде хорошая :)
Сделал 2 скрипта, net_off и net_on.
Первый поставил на выполнение в планировщик (When my computer starts) с паролем адм. учетной записи. Второй поставил на мой аккаунт (When I logon).
Осталось дело за малым. Куда бы net_off прописать для автоматического выполнения при лог-оффе моей учетной записи...
← →
LexxX © (2006-04-04 20:03) [37]Джо © (04.04.06 19:58) [36]
Создай cmd-файл, в котором первой строкой будет выполнение твоего скрипта, а воторой - выключение машины.
← →
Джо © (2006-04-04 20:19) [38]> [37] LexxX © (04.04.06 20:03)
> Джо © (04.04.06 19:58) [36]
>
> Создай cmd-файл, в котором первой строкой будет выполнение
> твоего скрипта, а воторой - выключение машины.
А зачем перед выключением машины отрубать сет. интерфейсы. Power-off их и так отключит :) Наверное, ты имел в виду "перед лог-оффом"?
← →
isasa © (2006-04-04 20:48) [39]Джо © (04.04.06 20:19) [38]
А использовать
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] - старт ОС
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] - сеанс ?
И, насколько вспоминаю, :) в диспетчере можно задавать учетную запись, под которой выполняется задание.
Это не обязательно тнкущая.
Хакаем это дело правильно. :)
← →
Джо © (2006-04-04 21:06) [40]> [39] isasa © (04.04.06 20:48)
Да я уже с планировщиком разобрался. Все работает отлично, спасибо :)
А необходимость при лог-офе или Win+L запускать net_off это не такая уж страшная вешь :)
С реестром ковыряться нехота, с планировщиком удобнее, IMHO.
Если кому понадобится, вот тексты скриптов. Работает только с DHCP. Скопировано из MSDN, второй подправил.
------------
net_off.vbs:
------------
strComputer = "."
Set objWMIService = GetObject( _
"winmgmts:\\" & strComputer & "\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
("Select * From Win32_NetworkAdapterConfiguration " _
& "Where IPEnabled = True")
For Each objNetCard in colNetCards
objNetCard.ReleaseDHCPLease()
Next
-----------
net_on.vbs
-----------
strComputer = "."
Set objWMIService = GetObject( _
"winmgmts:\\" & strComputer & "\root\cimv2")
Set colNetCards = objWMIService.ExecQuery _
("Select * From Win32_NetworkAdapterConfiguration " _
& "Where IPEnabled = True")
For Each objNetCard in colNetCards
objNetCard.RenewDHCPLease()
Next
Первый скрипт поставил в планировщик на When my computer starts, указав учетную запись администратора.
Второй — на When I logon.
← →
Джо © (2006-04-04 21:07) [41]В итоге выходит так. Компьютер загружается, сразу же отрубаются все соединения. Если логинюсь я, соединения включаются, если кто-то другой, соединения остаются отрубленными... Вот такой жестокий романс :)
← →
isasa © (2006-04-04 21:12) [42]Еще вариант.
Поиграться, только аккуратно, политиками
Администрирование -> Локальные параметры безопасности -> Локальные политики ->
Назначения прав пользователя ->
Параметры:
Доступ к компьютеру из сети
Отказ в доступе к компьютеру из сети
Убрать группу "Все", загнать особо провинившихся в группу которой в этом списке не будет, или указать группу в "Отказ в доступе к компьютеру из сети"
← →
isasa © (2006-04-04 21:19) [43]Виноват :)
Последний сабж, не то.
Сорри.
← →
isasa © (2006-04-04 21:21) [44]Джо © (04.04.06 21:07) [41]
Вот такой жестокий романс :)
Это кто-ж так довел?
220 на клавиатуру и капкан под стол!
← →
Джо © (2006-04-04 21:23) [45]> [44] isasa © (04.04.06 21:21)
> Это кто-ж так довел?
> 220 на клавиатуру и капкан под стол!
Да нет, это я не на свой компьютер, попросили помочь, а мне жутко интересно стало. У меня все тихо-мирно-полюбовно :)
← →
LexxX © (2006-04-04 22:11) [46]LexxX © (04.04.06 20:03) [37]
Наверное, ты имел в виду "перед лог-оффом"?
Ага, просто на автомате написал про выключение машины :)
← →
atruhin © (2006-04-05 14:58) [47]
> на файрволе запрещаю выход для всех кроме Opera.exe, а
> на нее устанавливаю права NTFS.
А чем все таки этот вариант плох, кроме установки файрвола? У меня неплохо работал
← →
Джо © (2006-04-05 18:25) [48]> [47] atruhin © (05.04.06 14:58)
> А чем все таки этот вариант плох, кроме установки файрвола?
> У меня неплохо работал
1. Например, человек не любит Оперу, а любит IE.
2. Появляется новая программа, нужно не забыть ее "запретить".
3. Ну, дополнительные программы ставить не хочется.
А так выходит железно — нет соединения, нет конфеток. :)
← →
ronyn (2006-04-05 18:46) [49]WinRoute 6
← →
Джо © (2006-04-05 18:50) [50]> [49] ronyn (05.04.06 18:46)
> WinRoute 6
Извините, требовалось решить задачу стандартными средствами Windows XP Prof. Задача уже решена :)
← →
Некто © (2006-04-05 19:14) [51]Win+R
gpedit.msc
Конфигурация пользователя - Административные шаблоны - Система - Не запускать указанные приложения Windows
И перечисляешь там всё, что нельзя запускать непривилегированным пользователям, а из под административной учётной записи запускать можно будет всё. Раздаёшь права.
Но это защита от дурака... переименовав исполняемый файл можно будет его запустить.
← →
Джо © (2006-04-05 19:18) [52]> [51] Некто © (05.04.06 19:14)
Спасибо, не подходит, аналог с правами уже обсуждался.
Страницы: 1 2 вся ветка
Текущий архив: 2006.04.23;
Скачать: CL | DM;
Память: 0.59 MB
Время: 0.014 c
