Вопрос или проблема
У меня есть компьютер с Windows 7 с двумя пользователями. Один из них – Администратор, другой – пользователь с ограниченными правами.
Пользователь с ограниченными правами должен иметь доступ к интернету, но не должен иметь доступ к любым сетевым ресурсам других компьютеров в локальной сети. Желательно, чтобы он даже не видел, что есть какие-то компьютеры и рабочие группы в локальной сети.
Администратор должен иметь нормальный доступ к интернету и локальной сети.
Как этого достичь?
ИЗМЕНЕНИЕ:
Я не могу контролировать другие компьютеры в локальной сети.
Вы думаете, что выход из домашней группы на этом компьютере может быть достаточным?
Могут быть и более лучшие решения. Но вот одно из них:
- Не давайте этому пользователю разрешений на ваши сетевые ресурсы или даже явно запретите их.
- Отключите службу обозревателя компьютеров для этого пользователя. Очень примитивный подход – установить её в состояние отключено, и, так как требуется быть администратором, чтобы её включить, вы сможете это сделать, а пользователь – нет. Другой подход – скрипт входа/выхода, который выполняет это.
Это может иметь гораздо более обширный ответ, чем вы можете ожидать, с множеством переменных компонентов.
Во-первых, вам нужно учитывать уровень знаний вашего “пользователя”. Если за компьютером сидит высококвалифицированный пользователь (или хакер)… есть очень мало того, что он/она не сможет сделать. Пользователь, разбирающийся в технике, может знать, как напрямую получить доступ к ресурсам, но, скорее всего, не сможет сделать много большего при получении простого сообщения “доступ запрещен”. Обычный пользователь не знает, как получить доступ к сетевому ресурсу, если только для него нет ярлыка.
Что вы имеете в виду под “сетевые ресурсы”? Вы говорите о настоящем “Сетевом ресурсе Windows” на отдельном сервере Windows? Если да, просто установите разрешения для допуска/ограничения пользователей по вашему усмотрению. Как общее правило, если у пользователя нет разрешений на сетевой ресурс, он не может получить к нему доступ. Переход к \some-server\share приведет к появлению приветственного окна входа с запросом имени пользователя/пароля (если он не входит в домен) или просто к сообщению “Доступ запрещен” (если он входит в домен и не имеет разрешений). Разрешения могут быть назначены администратору, чтобы предоставить ему все, что ему нужно. Что касается “скрытия”… это возвращает нас к уровню умений пользователя. Вы не можете фильтровать сетевые соединения по пользователю, только по IP-адресу, порту или другому “сетевому” атрибуту. Как только сетевое соединение установлено, вы находитесь во власти уровня приложений для поддержания безопасности. К сожалению, невозможно применить объект групповой политики к правилам брандмауэра для каждого пользователя.
Если вы хотите ограничить “внешний вид” сетевых ресурсов, можете сделать немало с помощью групповых политик, которые могут скрыть или ограничить видимость различных сетевых ресурсов… но это обсуждение может быть достаточно длинным и не должно осуществляться легкомысленно.
Если вы говорите о сетевом ресурсе на “домашнем” устройстве (маршрутизатор? nas? ???) с частично реализованным стеком SMB, вы находитесь в зависимости от производителя. Если оно не запрашивает имя пользователя/пароль, мало что можно сделать.
Если вы говорите о чем-то другом… нам нужно больше информации.
.
Ответ или решение
Для решения задачи ограничения доступа ограниченного пользователя к сетевым ресурсам в системе Windows 7, существует несколько эффективных методов, которые позволят вам достичь желаемого результата. Рассмотрим их детально.
Понимание задачи
У вас имеется два пользователя на компьютере: один с правами администратора, другой — ограниченный пользователь. Ваша цель — предоставить ограниченному пользователю доступ к Интернету при полном ограничении доступа к сетевым ресурсам в локальной сети (LAN). Более того, желательно, чтобы он даже не видел, какие компьютеры и рабочие группы находятся в сети.
Ограничение доступа к сетевым ресурсам
-
Настройка прав доступа к сетевым ресурсам:
Убедитесь, что ограниченный пользователь не имеет прав доступа к сетевым ресурсам. Это можно сделать, установив соответствующие разрешения на других компьютерах или серверах, если они у вас есть. Поскольку вы указали, что не можете управлять другими компьютерами в LAN, нужно применить ограничения непосредственно на своём устройстве. -
Отключение Службы обозревателя компьютеров:
Отключите службу обозревателя компьютеров (Computer Browser Service), что предотвратит отображение сетевых устройств и ресурсов для ограниченного пользователя. Вы можете сделать это, отключив службу через панель управления службами или сконфигурировав скрипт, который будет отключать её при входе в систему. -
Редактирование групповой политики:
Используйте редактор локальной групповой политики (gpedit.msc) для ограничения доступа к элементам сети. Это включает в себя настройку параметров, таких как "Удалить Мой компьютер с рабочего стола" и "Удалить значок Сетевое окружение".
Технические решения и сценарии использования
-
Настройка домашней группы:
Возможно, выход из домашней группы для ограниченного пользователя может помочь в решении проблемы. Тем не менее, это может не быть достаточным решением, поскольку доменная сеть и домашняя группа в Windows имеют разные механизмы управления доступом. -
Уровень подготовки пользователя:
Если ограниченный пользователь обладает минимальными техническими навыками, установка запрета на сетевые ресурсы и отсутствие ярлыков доступа могут быть достаточными. Однако, если пользователь достаточно опытный, стоит внедрить более строгие методы ограничения.
Заключение
Эти шаги помогут вам настроить систему так, чтобы ограниченный пользователь мог пользоваться Интернетом без возможности доступа к сетевым ресурсам. Важно учитывать, что каждый из этих методов зависит от уровня компетентности и технической подготовленности пользователя. Настоятельно рекомендуется периодически проверять настройки безопасности и доступа, чтобы убедиться в их эффективности.
Если у вас есть дополнительные вопросы или требуется более специфическая настройка, не стесняйтесь обратиться за консультацией к профессионалам в сфере информационной безопасности.