0. Выставить в BIOS для SATA-контроллера режим AHCI. Для HDD он даёт прирост в скорости, оптимизацию перемещения блока головок, функцию hot-plug.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
На двухъядерном поцессоре Athlon Socket AM2 процесс установки занял 50 мин.
1. Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format). Install XP (name admin - boss). Активация не требуется. Корпоративная версия. Установить обновления из папки update.
2. Устанавливаем недостающие драйвера. Ставим пароль на администратора.
Устанавливаем русский языковый пакет из папки mui-ru (опция). Install russian MUI (optional).
Control Panel - Regional and Language Options.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ. Control Panel - Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию, то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Переключение раскладки для UAC с Alt-Shift на Ctrl-Shift:
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"
--------------------------------------------
Включение автологона:
Нажмите Start, наберите “control userpasswords2″ и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
3. Назначаем точки монтирования (папки NTFS) для всех своих логических дисков.
Control Panel - Administrative Tools - Computer Management
Set mount points for all drives
4. Переименование локального Администратора и добавление пользователя с ограниченными правами (group "Users"). Rename "Administrator" to "boss", add User "user1":
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and groups\Users. Встроенного "Administrator" (Built-in account for administering the computer/domain) не трогаем. Переименовываем только локального Администратора. Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
5. Перезагрузка. Restart.
5.1. Входим в систему под User'ом и далее работаем только под ним.
Для изменения прав NTFS можно запустить explorer выделенно, как файловый менеджер. Для этого создадим ярлык для этого:
"%windir%\explorer.exe /separate"
Запустив этот ярлык от имени Администратора можно изменять права NTFS.
Настраиваем вид. Logon as "user1" and tune Start menu, Folder View, Deskop background, Screensaver.
5.2. Настраиваем время.
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
6. Оптимизация системного диска.
6.1. Отключаем спящий режим.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
6.2. Отключаем файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.
7. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn
------------------------------
8. Настраиваем восстановление системы.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.
9. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (default startup type):
Automatic updates (automatic)
Автоматическое обновление.
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Indexing Service (a)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m)
Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)
10. Отключаем сеть Windows (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
11. Настраиваем корзину. Set Recycle Bin. Я отключаю.
12. Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off
13. Настройка политик безопасности.
13.1. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,
Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Политика ограниченного использования программ (Software Restriction Policies - SRP).
Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS
Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Docume nts and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
13.2. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в W7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
14. Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
15. Планировщик заданий. Task Scheduler (Run as administrator).
Tune automatic shutdown
Tune enable/disable network adapter (devcon)
16. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000
-----------------------------
Если это не помогло, то:
Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")
Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled
Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.
17 Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интенрнет-соединение?
Добавьте его (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
18. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке-настройке всех программ данные и настройки сохранять только в Application Data.
В данной сборке есть драйвера для большинства контроллеров. Если драйвер AHCI не найден и установка прервалась, то верните режим Legacy IDE.
На двухъядерном поцессоре Athlon Socket AM2 процесс установки занял 50 мин.
1. Разметить основной, активный NTFS-раздел не менее 8Gb. Назначить первую загрузку с CD/DVD, вторую - с HDD.
Подключить все устройства к компьютеру для автоустановки драйверов. Установить Windows XP. В процессе установки обязательно повторно отформатировать раздел в NTFS (можно quick format). Install XP (name admin - boss). Активация не требуется. Корпоративная версия. Установить обновления из папки update.
2. Устанавливаем недостающие драйвера. Ставим пароль на администратора.
Устанавливаем русский языковый пакет из папки mui-ru (опция). Install russian MUI (optional).
Control Panel - Regional and Language Options.
Set russian as second keyboard layout.
Настроить русский для не-юникодных программ. Control Panel - Region and Language - Administrative - Language for non-Unicode programs: Russian (Russia)
Лично я всегда, в любых программах использую пароль на английском.
Если при логоне при вводе пароля русский язык по-умолчанию, то изменить ключ:
---------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"2"="00000419"
"1"="00000409"
---------------------------------------
Переключение раскладки для UAC с Alt-Shift на Ctrl-Shift:
-------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"
--------------------------------------------
Включение автологона:
Нажмите Start, наберите “control userpasswords2″ и нажмите Enter.
Выберите своего пользователя из списка и снимите галочку с опции “User must enter a user
name and password to enter this computer” (Требовать ввод имени пользователя и пароль при
входе в компьютер), нажмите «Применить» и OK.
3. Назначаем точки монтирования (папки NTFS) для всех своих логических дисков.
Control Panel - Administrative Tools - Computer Management
Set mount points for all drives
4. Переименование локального Администратора и добавление пользователя с ограниченными правами (group "Users"). Rename "Administrator" to "boss", add User "user1":
Control Panel\All Control Panel Items\Administrative Tools\Computer Management\Local Users and groups\Users. Встроенного "Administrator" (Built-in account for administering the computer/domain) не трогаем. Переименовываем только локального Администратора. Аккаунт "Guest" и "Administrator" отключены (Account is disabled).
5. Перезагрузка. Restart.
5.1. Входим в систему под User'ом и далее работаем только под ним.
Для изменения прав NTFS можно запустить explorer выделенно, как файловый менеджер. Для этого создадим ярлык для этого:
"%windir%\explorer.exe /separate"
Запустив этот ярлык от имени Администратора можно изменять права NTFS.
Настраиваем вид. Logon as "user1" and tune Start menu, Folder View, Deskop background, Screensaver.
5.2. Настраиваем время.
Control Panel\All Control Panel Items\Date and Time:
Date and Time - Change time zone: UTC+4:00 (Устанавливаем часовой пояс). Turn Off "Automatically adjust clock for Daylight Saving Time" (отключаем автоматический перевод часов на летнее/зимнее время).
Internet Time - Change settings: Server: ntp.mobatime.ru, ru.pool.ntp.org.
6. Оптимизация системного диска.
6.1. Отключаем спящий режим.
Control Panel - Display - Screen Saver - Power:
Advanced - tune "Power buttons"
Hibernate - Disable hibernation
6.2. Отключаем файл подкачки если достаточно ОЗУ и не будет ресурсоёмких программ (игр и т.п.). Для x86 - 2Gb и более (300Mb - в фоне).
Control Panel - System - system properties:
Advanced - Performance - settings (Performance option) - advanced - Virtual memory - Change:
No paging file - Set.
7. Включаем DEP (если все программы корректно с ним работают). Enable DEP (AlwaysOn).
Change c:\boot.ini. Example boot.ini:
------------------------------
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /PAE /NoExecute=AlwaysOn
------------------------------
8. Настраиваем восстановление системы.
Control Panel\All Control Panel Items\System - advanced system settings.
Tune System Restore on "C:\" 1Gb disk space.
9. Отключаем лишние для нас службы.
Control Panel - Administrative Tools - Services
Disable services (default startup type):
Automatic updates (automatic)
Автоматическое обновление.
Remote Desktop Help Session Manager (manual)
Remote Registry (m)
Server (a)
Сервер. Эта служба нужна для расшаренных папок и передачи файлов по Bluetooth. Этот протокол имеет массу уязвимостей.
TCP/IP NetBIOS Helper (a)
Windows Firewall/Internet Connection Sharing (ICS) (a)
Indexing Service (a)
Служба индексирования дисков. Ускоряет поиск, но постоянно грузит HDD.
Computer Browser (m)
Routing and Remote Access (m)
Маршрутизация и удаленный доступ
Terminal Services (m)
Themes (a)
10. Отключаем сеть Windows (протокол SMB). Этот протокол имеет массу уязвимостей.
Control Panel - Network Connections - Change adapter settings:
Disable NetBIOS for TCP/IP v4, disable "Client for microsoft networks", disable "File and printer sharing..."
11. Настраиваем корзину. Set Recycle Bin. Я отключаю.
12. Отключаем лишние программы. Control Panel\All Control Panel Items\Programs and Features - Turn windows features on or off:
Outlook Express - off
Windows Media Player - off
Indexing Service - off
13. Настройка политик безопасности.
13.1. Настройка локальной политики безопасности.
Control Panel - Administrative Tools - Local Security Policy:
Запрещаем доступ к компьютеру из сети (удалённое управление).
Security Settings - Local Policies - User Rights Assignment:
Access this computer from the network - none (remove all),
Allow log on trough Terminal Services - none (remove all),
Deny Access to this computer from the network - Everyone,
Deny log on locally - Guest, ASPNET,
Deny log on trough Terminal Services - Everyone,
Change the system time - Administrators
Log on locally - Administrators, Users,
Параметры для безопасного входа в систему.
Security Settings - Local Policies - Security Options:
Accounts: Rename administrator account - boss,
Interactive logon: Display user information when the session is locked - Do not display user information
Interactive logon: Do not display last user name - Enabled
Interactive logon: Do not require CTRL+ALT+DEL - Disabled
Network access: Remotely accessible registry paths and subpaths - None
Политика ограниченного использования программ (Software Restriction Policies - SRP).
Security Settings - Software Restriction Policies.
RightMouseClick - New Software Restriction Policies.
Software Restriction Policies - Security Levels - Disallowed.
Enforcement: All software files , All users except local administrators.
После установки всех программ, драйверов, настройки системы, изменяем:
Enforcement: All users. Для установки новых программ временно ставим Security Levels - Unrestricted.
Дополнительные правила. Разрешаем запуск из папок, в которые запрещена запись User'ам. Запрещаем запуск из папок, в которые разрешена запись User'ам.
Software Restriction Policies - Additional Rules:
Правила для путей. (New Path Rule)
Неограниченный. Unrestricted:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
Запрещено. Dissalowed:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Print\Printers%
%systemroot%\Temp
%systemroot%\Debug\UserMode
%systemroot%\Registration\CRMLog
%systemroot%\Tasks
%systemroot%\Temp
%systemroot%\system32\spool\PRINTERS
Планировщик заданий - потенциально опасная служба. Если он не нужен, то можно просто отключить службу.
Запрет запуска из папки заданий.
Disallowed - %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Запрет создавать задания обычному пользователю. Задания могут создавать вирусы (с правами User's).
C:\Windows\Tasks\ - запретить запись только в эту папку обычному пользователю (Special permissions - Apply to: This folder only)
Запрещаем потенциально опасные приложения в папке Windows (некорректно работают с SRP)
Запрет по хэшу (New Hash Rule) или пути (New Path Rule) (Disallowed or Basic User).
c:\windows\hh.exe, c:\windows\system32\mshta.exe, c:\windows\system32\reg.exe, c:\windows\system32\regedt32.exe, c:\windows\regedit.exe, c:\windows\system32\runas.exe
(runas опасно тем, что позволяет запустить из командной строки любое приложение в обход SRP (уязвимость исправлена в Windows 7):
C:\Docume nts and Settings\user>runas /trustlevel:"Unrestricted" C:\temp\bad_program.exe)
Designated File Types:
добавить расширения (add file extension): scf , dll.
удалить расширения (remove file extension): lnk.
Решение проблем совместимости.
Есть программы, которые пишут данные не в Application Data, а в свои папки, например игры. Для обеспечения безопасности в этом случае такие программы следует установить не в "C:\Program Files\" а в другую папку. Дать группе Users права на запись в эту папку. В настройках SRP дать разрешения на эту программу и её библиотеки только по хэшу. То ессть для всех исполняемых файлов в папках, доступных для записи пользователю с ограниченными правами (например игры, установленные в D:\Games\ ) - разрешения только по хэшу, во избежание подмены или инфицирования файла.
13.2. Групповая политика безопасности (Group Policy).
Run as administrator c:\windows\system32\gpedit.msc (Local Group policy Editor)
Computer Configuration:
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
User Configuration:
Administrative Templates - Desktop - Hide and disable all items on the desktop: Enabled.
Administrative templates - System - Turn off autoplay: Enabled (All drives)
Administrative templates - System - Turn off Windows Update device driver search prompt: Enabled
Выводы.
При таких настройках политик безопасности отпадает необходимость в резидентном антивирусе. Встроеммый в W7 файерволл также вполне вменяемый и легко настраеваемый (есть возможность экспорта/импорта настроек в файл). Я сканирую только новые программы скачанные из интернета на предмет вирусов. При наличии выбора стараюсь использовать Freeware из проверенных источников и положительно зарекомендовавшие себя на форумах.
14. Отключаем капслок, если эта клавиша раздражает. Disable Caps lock:
------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
"Scancode Map"=hex:00,00,00,00,00,00,00,00,02,00,00,00,00,00,3a,00,00,00,00,00
------------------
15. Планировщик заданий. Task Scheduler (Run as administrator).
Tune automatic shutdown
Tune enable/disable network adapter (devcon)
16. Передача прав обычному пользователю на запись CD/DVD:
----------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"allocatedasd"="2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoCDBurning"=dword:00000000
-----------------------------
Если это не помогло, то:
Дать полный доступ на ветку реестра для всех пользователей (Everyone):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDrom]
Control Panel - Administrative Tools - Local Security Policy - Security Settings - Local Policies - User Rights Assignment:
Load and unload device drivers - (add group "Users")
Security Settings - Local Policies - Security Options:
Devices: Allowed to format and eject removable media - Administrators and Interactive Users
Devices: Restrict CD-ROM access to locally logged-on user only - Enabled
Если всё вышеперечисленное не помогло, то в качестве программы для записи дисков следует использовать CDBurnerXP, т.к. она ставит свой собственный драйвер записи. Или Nero.
17 Как сделать, чтобы пользователь с ограниченными правами смог сам включать и отключать интенрнет-соединение?
Добавьте его (или группу INTERACTIVE) в локальную группу Network Configuration Operators.
18. Устанавливаем необходимый софт. На время установки следует SRP выставить Unrestricted. При установке UAC потребует пароль администратора. Запуск и настройку установленных программ производить в аккаунте обычного пользователя.
При установке-настройке всех программ данные и настройки сохранять только в Application Data.
Комментариев нет:
Отправить комментарий