Дабы уберечься от экспериментов родного дитяти, когда любопытство опережает ум :), завел его как юзера. Однако, выяснилось что многие игры ставятся только под Администратором. А некоторые даже и запускаются только под ним. В связи с чем встала проблема, как бы наделить юзера такими правами, чтобы он НЕ мог изменять оборудование (т.е., ставить драйвера и пр.), НЕ мог удалять, менять и пр. содержимое опред. директорий (разделов и т.д.), но мог пользоваться остальными административными правми. То, что политика безопасности получается при этом непролноценная, меня не волнует.
Пытался радавать всякие права в Локальной политике, но - увы - ничего не меняется.
Знает ли кто, какой полный перечень прав включен в роль администратора? Что можно делегировать юзеру, чтобы ребенок мог игрушки запускать? :)

2 monstrU
В Local Security Politice есть "работать как часть операционной системы"
Пробовал,... не помогло. По крайней мере в одном случае.

2 mahoune
Дай права админа и запрети - это как? Да и если он админ, он эти права может сам всегда снять. Или нет?

2 Smile
Скорее, бедный отец ребенка

Увы, попробовал предложенные варианты - так ни к чему и не пришел.
Сделать еще одного админа - хорошо почти всем, но... любой с правми админа может буквально в 3-4 клика мышкой поменять пароль у любого.

Кто-нибудь знает, можно как-то запретить менять юзеру (с правми админа) пароли (кроме своего) и добавлять/удалять пользователя?

2 mahoune
Я хочу разрулить данную ситуацию по-инженерному. Есть ресурс, который необходимо грамотно разделить и администрить. "запретить все", применять воспитательные методы и пр. - к делу не относятся. Если хотите, можете считать что мною уже движет свое простое любопытство. Вы можете по существу ответить, можно ли запретить изменение чужого пароля и добавление/удаление юзера в Win2k? Меня уверяли, что это возможно.

2 Smile
Еще одну ОС установить - это не решение, это... так вы скажете еще один комп прикупить.

На самом деле, если кому интересно, решение отыскалось.
Во-первых, в Local Securite Police из параметра Take ownership of files... выкидывается админ (оставил только себя); есть еще несколько др. параметров, с которыми поступаем также.
Во-вторых, в составе W2k есть тул - Group Police, в котором можно ограничить доступ как к панели управления полностью, так и к отдельным компонентам.
Конечно, грамотный хацкер-администратор все это преодолеет, но для моих скромных целей достаточно.

Единственный нерешенный пока вопрос - это как в Group Police можно сделать разные настройки для разных юзеров?

2 Smile
Да, вошедший с правами администратора имеет возможность вернуть настройки. Но чтобы их вернуть, сначало надо знать КАК их вернуть.

2 mahoune
Первоначально все именно так и было! Но, как оказалось, прав на установку программ недостаточно. Не знаю по каким причинам, но чуть-ли не каждая вторая игра при установке требует административных прав. Что именно им надо, мне неизвестно. Плюс для юзера периодически сбиваются настройки в удаленном доступе, из-за чего нельзя выйти в инет. Пытался играться с Local Police - не помогло.

А полный перечень значений Local Policy с обьяснениями есть в Windows 2000 Resource Kit.

Ну, м.б., это не совсем инженерное решение, но далеко не каждый даже опытный пользователь знает и помнит про Group Police. Я, например, не помнил. Иконки для нее нет и даже не всякий админ быстро вспомнит как ее запустить. По крайней мере, в моих глазах, если ребенок знает про групповые политики в виндах - это уже профи, и защищатся от него не нужно.

А что касаемо подключения винта к другому (надеюсь, это чисто умозрительный вариант) - то здесь вообще может помочь только тотальное шифрование каким-нить Алладином.

некоторые права, полный список которых лично я вам сказать не смогу
Вот отсюда все и повелось... Админ - это роль, которой приданы некие права. Эти права можно убирать/менять, так что теоретически создание полуадминистратора возможно. Вот только какие это права - толком неизвестно!