Как настроить разграничение определенных привилегий в локальной сети Windows XP?

Question

[Christopher Lekkey]

Здравствуйте, многоуважаемое IT-сообщество.
Передо мною постала задача. Настроить локальную сеть из 15 ПК, все под управлением Windows XP. Один ПК администратора и все остальные usersы. Все требования для меня понятны. FTP-сервер, интернет-цензор, удаленный доступ и так далее. Но вот один момент. Нужно сделать так, что бы нельзя было ничего изменять на рабочем столе. А только в отдельно отведенной директории, предназначенной для хранения файлов сотрудников. В определенное время эта директория должна бэкапатся на комп админа и архивироваться. К тому же, нужно что бы некоторые программы и bat-файлы могли запускать пользователи, а на некоторые необходимо было бы разрешение со стороны админа. Как такое реализовать? Заранее благодарствую.

Answer 1

[Stanislav]

В NTFS правах (закладка "Безопасность в свойствах папки) на "Рабочий стол" юзеру поставить только "Чтение".
Архивирование папок - задача в шедулере/планировщике задач.
С разрешениями на запуск непонятно, как должна проходить сама процедура. Существует два способа:

1. Формальный - юзер просто спрашивает у админа, но приложение может запуститься даже без админского "да"
   
2. фактический/технический - приложение не доступно для запуска, без вмешательства админа, то есть, админ с помощью некоей манипуляции делает возможным запуск приложения и при это не забывает запрещать доступ, если такое необходимо

В первом случае ничего не надо делать, во втором случае есть множество вариантов, но всё зависит от того, зачем это надо и какие редакции Win XP используются (Home, Pro...). Как самый простой вариант - у юзера отбираются права на "Чтение и запуск" приложения в NTFS, а затем возвращаются.

Answer 2

[Ильяс]

Так это, active directory в помощь и вперёд...

Answer 3

[anikavoi]

www.oszone.net/4072_2

secedit, gpedit