Как ограничить доступ к директории для пользователя-админа, но оставить полный доступ для пользователя «Администратор»?

Question

[ColdSpirit]

Добрый день! На ПК имеется директория Google Drive, в которую программа по необходимости скачивает файлы. Я хотел бы изменить доступ пользователя с правами администратора к этой директории на "только чтение", а программу от гугл диска запускать от имени пользователя "Администратор", чтобы она могла спокойно синхронизировать файлы.

Цель - защитить директорию от случайного вмешательства основного пользователя. Как это сделать?

Answer 1

[Ezhyg]

Назначай владельцем конкретно пользователя Администратора а пользователям - разрешение только на чтение и запрет на всякое. Запреты - приоритетнее.
Но если запретишь запись, то и новых файлов создавать низзя будет, только через программу, запущенную от Администратора. Но через неё же можно будет и удалить... так что, как видишь, не сильно ты можешь защитить, давая доступ вообще.
Проще – пользуйся теневыми копиями, тогда любое "повреждение" лечится за пару минут. У меня это иногда случается и если бы не теневые копии - недельный труд насмарку.

Comments

[ColdSpirit]

Выяснил, что "Запуск от имени администратора" не равно "Запуск от пользователя Администратор".
https://compfixer.info/run-as-administrator/

Пользователь "Администратор" отключен, и включать его не планируется, хотя да, через запущенную от его имени консоль изменять директорию могу спокойно.

"Запуск от имени администратора" тут, выходит, вообще не поможет, т.к. запускает программу под тем же пользователем, только с повышенными правами администратора (спс MS за такой перевод). Насколько они они повышаются - хотелось бы знать. Есть ли смысл вообще использовать "Запуск от имени администратора" при отключенном UAC?

Цель именно в ограничении прав пользователя, программа пусть делает что хочет) Теневые копии не подойдут. Думаю в сторону использования запускать от имени SYSTEM или чего-то подобного, но это уж слишком жирно для гугла)

Походу нужно создавать спец пользователя для этих целей...

[Ezhyg]

ColdSpirit, ты же сам изначально разделяешь запуск от Администратора и запуск от имени администратора - и правильно делал :).

Пользователь с правами администратора обладает полностью теми же правами, что и встроенный Администратор. Ограничения связаны только с изначально уже настроенными правами на разные вещи, плюс учётной записью "Система", которая взяла на себя половину, ранее "администраторских" задач, но на самом деле работающих для и на саму ОС.

Не, давай так: что или как (именно своими словами, только подробнее) ты хочешь ограничить или обезопасить?

[ColdSpirit]

Ezhyg, не, я думал что пункт меню "Запуск от имени администратора" значит, что программа запустится от имени пользователя "Администратор". А он-то, оказывается, вообще не причем! =)

На ПК стоит пользователь с правами администратора, с отключенным UAC. Под ним ведется вся работа.

В процессе работы нужно подкачивать общие файлы из интернета - на этот случай зашел бы гугл диск. Но он не умеет синхронизировать файлы в одну сторону: если случайно удалить эти файлы на ПК, они так же будут удалены в облачном хранилище, что не есть гуд.

Вот и хочу встроить защиту от дурака: режим "только чтение" для директории, где синхронизируется гугл диск. Чтобы пользователь случайно не удалил там что-нибудь. Но, при включении режима, клиент гугл диска тоже не может закачать туда файлы, т.к. и у него нету прав на это.

Пока наилучшую альтернативу нашел - GoodSync. Может односторонне выкачивать файлы из гугл диска при любых изменениях. Удалил файл на ПК - он заново скачал. Хорошая программа.

Пользователь с правами администратора обладает полностью теми же правами, что и встроенный Администратор.

А как меняются права при "Запуске от имени администратора"? У меня вроде бывали случаи, когда надо было запускать программу именно таким путем, хотя пользователь был с правами админа и UAC отключен был.

На днях попробую вариант с системными учетками, отпишусь что получится.

[Ezhyg]

ColdSpirit,

я думал что пункт меню "Запуск от имени администратора" значит, что программа запустится от имени пользователя "Администратор". А он-то, оказывается, вообще не причем! =)

А... ну да, не ты первый, кто путает, так что не кори себя ;).

Вот и хочу встроить защиту от дурака: режим "только чтение"...

Да, сложная задачка. Имеющиеся средства для неё не очень подходят, тем более, если у юзера админские права необходимо сохранять.

А как меняются права при "Запуске от имени администратора"?

"Повышение привилегий" - тут лучше, почитать интернеты, я не смогу толком объяснить, ну не учили меня объяснять :(.
Если отключить UAC, то запрос не сможет появиться и если программа создана без учёта UAC она просто не запустится совсем (или выдаст ошибку), а если с учётом, то сразу запустится с максимальными правами.

[ColdSpirit]

если программа создана без учёта UAC она просто не запустится совсем

Возможно cmd сделана именно таким способом - при обычном запуске она отказывается выполнять команду открытия cmd от имени системы. При запуске с правами админа всё норм.

Cmd от системы отлично заходит в заблокированную директорию, с клиентом гугла не пробовал, но, думаю, тоже норм всё должно быть.

Работать через систему - еще то извращение конечно. Легче всего включить Администратора. Других вариантов так и не придумал.

В любом случае спасибо за помощь!

[Ezhyg]

psexec -i -s mmc taskschd.msc

вот так я запускаю планировщик от имени системы на удалённых (и локальных тоже) машинах

Но работать с другими вещами - небезопасно.

Вдобавок Система не имеет доступа к некоторым вещам, но на память не помню. К интерфейсу пользователя вроде и ещё разному.