Zmiana zakresu uprawnień grup wbudowanych

Którym narzędziem w Windows 7 lub XP można zmienić zasady grup wbudowanych takich jak użytkownicy lub użytkownicy uwierzytelnieni? Chciałbym np. grupie “użytkownicy pulpitu zdalnego” ograniczyć np. prawa do modyfikacji zabezpieczeń NTFS.

Odpowiednie uprawnienia NTFS możesz nadać / zmodyfikować przez właściwości -> karta zabezpieczenia -> zaawansowane.

Wykonaj operację dla najwyższego w hierarchii katalogu a potem zrób dziedziczenie do podkatalogów.

Jeżeli dysponujesz odpowiednią edycją windows, możesz posłużyć się gpo.

Nie o to mi chodziło. Chcę np. ustawić, żeby grupa użytkownicy mogła instalować aplikacje ale np. nie mieć praw do ustawiania wygaszacza ekranu.

Tego typu ustawieniami można zarządzać właśnie przez GPO (w środowisku domenowym), a w ograniczonym stopniu przez konsolę secpol.msc (lokalnie), z pierwotnego pytania wynikało że chcesz ingerować tylko w uprawnienia w ramach ntfs w zależności od tego czy ktoś pracuje na sesji zdalnej czy lokalnej.

Nie wszystkie możliwe ustawienia są zdefiniowane w zasadach grupy które są już wbudowane, jeżeli ustawienia którego poszukujesz nie ma, ale da się je regulować za pośrednictwem rejestru możesz spróbować napisać własny szablon adm.

2016-02-09_214810.thumb.png.a89b56f825bc

Ok, o to właśnie mi chodziło. Czyli wynika z tego, że tak naprawdę nie mogę do końca zmieniać pewnych rzeczy w grupach wbudowanych. A co jeśli stworzę własną grupę. Czy też nie ma tutaj pełnej elastyczności przez GPO?

Rozchodzi eis o grupę “użytkownicy pulpitu zdalnego”. Jeśli użytkownik jest w tej grupie to ma pełne prawa do połączeń zdalnych. Chciałem jednak nadać takie prawa użytkownikowi, bez dodawania grupy “użytkownicy” do “użytkownicy pulpitu zdalnego”. Dodałem natomiast grupę “użytkownicy” jako grupę z uprawnieniami do logowania interakcyjnego. Niestety tuż po próbie zalogowania Windows wyrzuca komunikat “nie masz uprawnień do podłączenia się do tej sesji”. Jakie jeszcze prawa musiałbym zmodyfikować, aby grupa “użytkownicy” mogła logować się zdalnie?

Nie bardzo rozumiem po co aż tak kombinujesz. Przecież właśnie po to masz zdefiniowaną grupę wbudowaną żeby nie dłubać ręcznie przy każdym użytkowniku który ma mieć prawa do zdalnego pulpitu. Jeżeli chcesz ograniczyć prawa dostępu do czegoś wybranym użytkownikom zdalnym to zdefiniuj nową grupę, przypisz do niej odmowę dostępu / odczytu do czegokolwiek chcesz i przypisz userów zarówno do użytkowników pulpitu jak i tej nowej “sztucznej” grupy - to załatwi sprawę.

A co do pytania w poście, to ustawienie znajdziesz w secpol.msc:

2016-02-10_141402.thumb.png.2398af52431c

Tak, ale zauważyłem, że jeżeli ktoś jest członkiem Użytkowników pulpitu zdalnego w Windows XP to ma możliwość edycji uprawnień NTFS i ich zmiany - jak Administratorzy. Taka osoba może bez problemu namieszać w ACL’u. Tymczasem członek grupy Użytkownicy nie ma takich uprawnień systemowych.