Изменение доступа для \Program Files в Windows Vista Home Premium?
Всем привет!
Собираюсь сдавать ноут в ремонт для устранения периодически возникающих проблем, хочу сделать для работников сервис-центра новый аккаунт, на случай если им потребуется гонять какие-нибудь тестирующие утилиты.
Хочу лишить этот аккаунт всех прав на \Program Files — чтобы не было лишнего соблазна в игрушки вместо работы резаться, к примеру. Однако, как выяснилось, прав для изменения прав доступа у администраторов нет.
Если присмотреться, есть вот какая хитрость.
Владельцем каталога \Program Files является некто TrustedInstaller. У администраторов два вида специальных разрешений:
1) непосредственно для \Program Files — всё кроме изменения разрешений и смены владельца
2) для подкаталогов и файлов внутри \Program Files — полный доступ
Добавить запрет для нового аккаунта непосредственно в настройки доступа для \Program Files я не могу (permission denied), даже если указываю область действия этого запрета такой же, на какую у меня есть полный доступ. Настраивать же запрет доступа для каждого подкаталога муторно, хотя этот вариант работает.
Буду благодарен, если подскажете элегантное решение поставленной задачи в минимум действий и без изменения текущих настроек доступа для остальных аккаунтов, включая системные.
Закрывать доступ на запись в program files? в vista? а с какого фига он у вас открыт? Доступ туда есть только у администратора и только при принятии запроса UAC. Вы все это отключили?
эмм… хотите закрыть доступ к своему компьютеру специалистам, которые его будут чинить? варианты:
* если не хотим чтобы они что то устанавливали и ломали систему (т.е. поломка 100% аппаратная) — не заморачиваясь сделать полный бакап (штатными средствами операционки или ноутбука), и при возврате не глядя откатиться — делов на 3 клика мышкой и час ожидания.
* если не хотим, чтобы к данным не было доступа на чтение (личные порно скрыть) — то тут либо удалить (забакапить на внешнее хранилище), либо зашифровать. Права доступа — это детский лепет, при наличии прямого доступа к оборудованию это не защита.
p.s. не стоит усложнять жизнь ремонтникам, закрывать им доступ, так как для тестирования оборудования почти наверняка понадобятся административные права, а при их наличии, все права на каталоги перенастраиваются.
И еще, по договоренности, вы можете вообще забрать свой винт (только извлекать его может придется в сервисцентре).
Вы не поняли. Доступ к Program Files есть у всех пользователей, хотя бы на чтение и исполнение. И чтобы отбить у потенциально нерадивого ремонтника желание запускать игрушки из Program Files, я хотел ограничить доступ к этому каталогу.
Хардкорные методы решения проблемы я и так знаю, речь шла исключительно о том, чтобы убрать самый простой способ доступа к данным.
Но всё равно спасибо за информацию. Делаю вывод, что легко и без ущерба для результата сделать нужное не удастся, плюс уже сомневаюсь в целесообразности этой затеи.
> всё кроме изменения разрешений и смены владельца
У администраторов по умолчанию есть SeTakeOwnershipPrivilege, то есть они могут открыть любой объект с WRITE_OWNER доступом. У владельцев объектов всегда есть неявный allow WRITE_DAC доступ, то есть они могут менять разрешения на свои объекты независимо от того, есть ли это allow (или даже deny) ACE на WRITE_DAC.
Короче, нужно сначала «овладеть» объектом (вкладка Owner в Advanced security диалоге или takeown.exe если Вы предпочитаете командную строку). А уж потом можно менять доступ на что угодно.
Если сильно хочется после этих манипуляций можно вернуть владение TrustedInstaller-у.
