|
| Kun tillade adgang til visse direktorier -~ Fra : Poul Nielsen |
Dato : 15-09-06 19:59 |
|
ER det muligt at begrænse adgangen således at der kun er adgang til
visse direktorier ?
F.eks. Starte stifinder i et direktorie X således at den alene kan se X
og underdirektorier men ikke nogle direktorier over X?
Env:
- XP - pro
- Workgroup (ikke mulighed for domæne)
Jeg har kigget på RUNAS men kan ikke umiddelbart se hvordan det kan
komme til at virke.
Heller ikke polices ser ud til atdække ?
/ Poul
| |
Michael Rasmussen (15-09-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 15-09-06 20:58 |
|
Poul Nielsen <news@langhuse.dk> wrote:
>ER det muligt at begrænse adgangen således at der kun er adgang til
>visse direktorier ?
>- XP - pro
>- Workgroup (ikke mulighed for domæne)
Heldigt at du har en XP Pro, for i modsætning til Home udgaven kan Pro
nemlig den slags....
Åben en tilfældig folder, gå ind i 'Funktioner' -> 'Mappeindstillinger'
-> 'Vis' -> 'Avancerede Indstillinger'. Der fjerner du fluebenet i 'Brug
enkel fildeling (Anbefales).
Når du herefter åbner 'Egenskaber' for en folder eller mappe, opdager du
et nyt faneblad, 'Sikkerhed' hvor du kan bestemme hvem der har adgang
til filen / mappen.
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Poul Nielsen (15-09-2006)
| Kommentar Fra : Poul Nielsen |
Dato : 15-09-06 21:40 |
|
Michael Rasmussen skrev:
> Poul Nielsen <news@langhuse.dk> wrote:
>
>> ER det muligt at begrænse adgangen således at der kun er adgang til
>> visse direktorier ?
>
>> - XP - pro
>> - Workgroup (ikke mulighed for domæne)
>
> Heldigt at du har en XP Pro, for i modsætning til Home udgaven kan Pro
> nemlig den slags....
>
> Åben en tilfældig folder, gå ind i 'Funktioner' -> 'Mappeindstillinger'
> -> 'Vis' -> 'Avancerede Indstillinger'. Der fjerner du fluebenet i 'Brug
> enkel fildeling (Anbefales).
>
> Når du herefter åbner 'Egenskaber' for en folder eller mappe, opdager du
> et nyt faneblad, 'Sikkerhed' hvor du kan bestemme hvem der har adgang
> til filen / mappen.
>
> <mlr>
>
Tak - det var ikke let at se at man skulle klikke på en "tilfældig"
option i mappeindstillinger.
Det virker næsten men:
Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
password ind ?
RUNAS/kørSom kræver password.
Altså kan man forud definere et shortcut så det bare kan aktiveres ?
Poul
| |
Alex Holst (15-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 15-09-06 22:38 |
|
Poul Nielsen wrote:
> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
> password ind ?
> RUNAS/kørSom kræver password.
> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
Nej.
Når jeg læser dette indlæg og dit forrige vil jeg næsten vædde en plade
chokolade på, at du har opfundet en unødvendigt kompleks løsning på en eller
anden situation. Har jeg vundet?
| |
Lars Kim Lund (15-09-2006)
| Kommentar Fra : Lars Kim Lund |
Dato : 15-09-06 22:53 |
|
Alex Holst <a@mongers.org> wrote:
>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>> password ind ?
>> RUNAS/kørSom kræver password.
>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>
>Nej.
runas /savecred
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Alex Holst (17-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 17-09-06 11:50 |
|
Lars Kim Lund wrote:
> Alex Holst <a@mongers.org> wrote:
>
>>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>>> password ind ?
>>> RUNAS/kørSom kræver password.
>>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>> Nej.
>
> runas /savecred
>
Orv, ja. Dén havde jeg glemt.
| |
Poul Nielsen (17-09-2006)
| Kommentar Fra : Poul Nielsen |
Dato : 17-09-06 09:38 |
|
Alex Holst skrev:
> Poul Nielsen wrote:
>> Kan man køre et shortcut med RUNAS/kørSom - uden at skulle taste
>> password ind ?
>> RUNAS/kørSom kræver password.
>> Altså kan man forud definere et shortcut så det bare kan aktiveres ?
>
> Nej.
>
> Når jeg læser dette indlæg og dit forrige vil jeg næsten vædde en plade
> chokolade på, at du har opfundet en unødvendigt kompleks løsning på en
> eller anden situation. Har jeg vundet?
Måske - men så kom med en simplere løsning
Vi kører en application hvor vi vil tillade brugeren at starte visse
windows applicationer. F.eks. Notepad.
- det er så et krav at brugeren kun må navigere i et subtræ. (hvis du i
openFile i notepad browser ud af subtræet kan du faktisk starte andre
programmer (idet notepad jo nedarver brugerrettigheder fra vores
application).
RUNAS tillader at programmet afvikles som en anden meget begrænset
bruger - så "runas /savecred" vil gøre det muligt at oprette et
shortcut som opfylder ovenstående krav.
Hvad er den simplere løsning du tænker på ?
| |
Alex Holst (17-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 17-09-06 12:03 |
|
Poul Nielsen wrote:
> Vi kører en application hvor vi vil tillade brugeren at starte visse
> windows applicationer. F.eks. Notepad.
Kan du uddybe situationen? Måske er Software Restriction Policies en løsning,
eller måske er filrettigheder. Hvad er det basale problem? Er der data som
brugeren ikke må tilgå? Er der programmer som brugeren ikke må køre?
| |
Poul Nielsen (17-09-2006)
| Kommentar Fra : Poul Nielsen |
Dato : 17-09-06 22:08 |
|
Alex Holst skrev:
> Poul Nielsen wrote:
>> Vi kører en application hvor vi vil tillade brugeren at starte visse
>> windows applicationer. F.eks. Notepad.
>
> Kan du uddybe situationen? Måske er Software Restriction Policies en
> løsning, eller måske er filrettigheder. Hvad er det basale problem? Er
> der data som brugeren ikke må tilgå? Er der programmer som brugeren ikke
> må køre?
>
Der skal
1) være begrænsninger i adgang til filer
2) kun adgang til visse programmer som findes på en drop-down menu i en
applikation
(bemærk der derudover er blokeret for alt adgang til XP, startmenu m.m)
1) løses v.h.a. speciel bruger som kun har adgang til en "sandkasse",
ingen læse/skrive/eksekverings adgang til andre direktorier.
2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
herved køres kommandoerne uden den startende applikations privilegier.
Er der sikkerhedshuller ved at gøre dette ?
| |
Allan Olesen (17-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 17-09-06 22:56 |
|
Poul Nielsen wrote:
> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
Er der en grund til, at man ikke bare logger ind som den meget
upriviligerede bruger og kører programmerne?
Det lyder i mine ører lidt bagvendt at bruge runas til at nedgradere
sine rettigheder, men der kan naturligvis være en god grund.
--
Allan Olesen
| |
Poul Nielsen (18-09-2006)
| Kommentar Fra : Poul Nielsen |
Dato : 18-09-06 19:26 |
|
Allan Olesen skrev:
> Poul Nielsen wrote:
>
>> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
>
> Er der en grund til, at man ikke bare logger ind som den meget
> upriviligerede bruger og kører programmerne?
>
> Det lyder i mine ører lidt bagvendt at bruge runas til at nedgradere
> sine rettigheder, men der kan naturligvis være en god grund.
>
Ja grunden er at brugeren kun har adgang til vores application som
kræver visse privilegier.
Det kan ikke tillades at vores application stopper.
Nu er det svært at sige nej til at PC-en ikke også kan bruges til lidt
normalt PC arbejde.
Det er derfor nødvendigt at give kontrolleret adgang til visse
programmer/direktorier.
| |
Allan Olesen (19-09-2006)
| Kommentar Fra : Allan Olesen |
Dato : 19-09-06 01:02 |
|
Poul Nielsen wrote:
> Ja grunden er at brugeren kun har adgang til vores application som
> kræver visse privilegier.
> Det kan ikke tillades at vores application stopper.
Det lyder stadig lidt bagvendt. Var det ikke lettere at begrænse
brugerens rettigheder og derefter lade ham køre, hvad han vil/kan.
Jeres applikation kan jo så bare køres med en anden brugers rettigheder.
--
Allan Olesen
| |
Alex Holst (19-09-2006)
| Kommentar Fra : Alex Holst |
Dato : 19-09-06 02:04 |
|
Poul Nielsen wrote:
> 1) løses v.h.a. speciel bruger som kun har adgang til en "sandkasse",
> ingen læse/skrive/eksekverings adgang til andre direktorier.
> 2) løses ved at hardkode kommandoerne og eksekvere dem v.h.a. runas,
> herved køres kommandoerne uden den startende applikations privilegier.
>
>
> Er der sikkerhedshuller ved at gøre dette ?
Jeg ville lade personen logge ind som den bruger I ønsker, i stedet for at lege
med RunAs.
Jeg ville udskifte brugerens explorer.exe shell til fordel for jeres applikation
(eller whiteliste nogle få applikationer i Software Restriction Policies) så
brugeren ikke *kan* starte andet.
| |
|
|