אני מתקן לשכנים שלי את המחשב כשיש בעיות ומסתבר שרוב הבעיות הגדולות הן בגלל הבן הקטן שלהם, שאיכשהו מצליח למחוק, להרוס, לדחוף, לרסק ועוד...
אני רוצה איכשהו לחסום אותו ככה שהוא לא יוכל להתקין תוכנות ומשחקים בלי אישור של ההורים שלו, ו\או לתת לו גישה רק לדברים מסויימים כדי שהוא לא יוכל לשנות הגדרות מערכת, למחוק קבצי מערכת וכד'...
איך אני עושה את זה? אני מניח שיצירת חשבון חדש בווינדוס יעזור אבל אפ פעם לא ניסיתי וחשבתי שאולי יש דרך אחרת...

אל תפחדו לכתוב לי כאן דברים מתקדמים - אני מסתגל מהר...
תודה

יהי לגדיר במחשבים 2 משתמשים
לאחד תקרא "הורים" תתן לו ססמה שרק ההורים יידעו
לשני תקרא "ילד הורס" ואל תתן ססמה/תן ססמה שכולם ידעו
רק תדאג שהמשתמש "ילד הורס" יהיה משתמש מוגבל, כך שכן יוכל לגלוש באינטרנט אבל לא יוכל להתקין תוכנות חדשות
ואילו ההורים יהיו משתמש עם הרשאות, שכל ההתקנות יעברו דרכם

מידת ההגנה על המחשב תהייה תלוייה בכח הרצון של ההורים לא לספר את הססמה שלהם לילד

יש גם דרכים להגביל עוד מלא דברים כגון:
הגבלת שינוי מאפייני אינטרנט, הגבלת שינוי מאפייני תצוגה, הגבלת גישה ללוח הבקרה, הגבלת גישה לתיקיות, הגבלת צפיה בקבצים ועוד...
אם אתה מעוניין תבקש ואני אחפש לך עוד חומר על איך עושים את זה.
יש כל מיני מפתחות ברג'יסטרי שצריך לטפל בהם לצורך כך.

קוביבי, בקשר לפתרון שלך: הילד עדיין יוכל למחוק ולהרוס קבצים וגם לשנות הגדרות בלוח בקרה.
אני רוצה להגביל אותו לגלישה באינטרנט ושימוש בתוכנות ומשחקים...
תודה למי שענה...

במידה והמחשב מותקן על מע' קבצים NTFS, הילד ההורס לא יוכל למחוק (ולצורך העניין, אפילו לגשת) לתיקיות שאינן שלו.

במידה ומע' הקבצים שלך היא FAT, ניתן להמיר אותה ע"י הפקודה CONVERT.

אם אתה צריך עוד פרטים על העניין, תפרט מה חסר לך וננסה להרחיב.

בברכה

BigAssWeb
B. ENG

עשיתי נסיון על המחשב שלי:
פתחתי משתמש רגיל חדש (בלי הרשאות וכו'). הוא אכן לא יכול לגשת לתיקיות של אחרים ולהתקין תוכנות.
יש איפושהו הגדרות מתקדמות בנושא? כמו למשל לא לתת לו גישה לאינטרנט או תוכנות מסוימות (כמו שאמרתי, כרגע הוא לא יכול להתקין תוכנות אבל הוא יכול להשתמש בהן חופשי)

איתי,

למה שלא תנסה רגע להסביר לו שמה שהוא עושה פוגע והורס את המחשב.
בסך הכל המחשב הוא שלו ולא שלך, נסה אולי זה ילך

ניסיתי להסביר וההורים שלו ניסו אבל הוא פשוט חסר מעצורים.

הוא משמיד כל דבר (לא רק מחשבים, גם טלוויזיות ומערכות סטריאו). זה ממש נשמע כמו מודעת "מחפשים עבודה" .
אני אתן דוגמא למשהו שהוא עשה: לקח דיסקט ופירק אותו, לקח את הדיסק המגנטי הזה שיש בפנים ודחף אותו לכונן דיסקטים. נקרעתי מצחוק כששמעתי את זה...
הבעיה איתו היא שהוא לא שם והוא גם ממש לא מבין. הוא סתם מוחק דברים ומשנה וממלא את הדיסק בזבל.

Disable Control Panel entirely

http://www.winguides.com/registry/display.php/543/

Disable Command Prompt and Batch Files

http://www.winguides.com/registry/display.php/1143/

Disable the Ability to Right Click on the Desktop

http://www.winguides.com/registry/display.php/160/

Disable Task Manager

http://www.winguides.com/registry/display.php/163/

Etc. Etc.....

http://www.google.com/custom?q=disa...m&start=20&sa=N

אבל אם אתה רוצה (ואני שמח שככה) ללמוד לבד תעשה את הפעולות הבאות:

start --> run --> mmc

בחלון שייפתח תלחץ ctrl+M או file --> add/remove snap-in
בחלון שייפתח תלחץ על add
בחלון שייפתח (אני די חוזר על עצמי, לא? ) תבחר group policy ותלחץ על add
בחלון שייפתח תבחר local computer
תלחץ על finish ואז close ואז ok
תפרוס את Local Computer Policy
הוא מתחלק ל-2 חלקים user management וcomputer management (לא בהכרח, אני לא זוכר את הציטוט המדוייק)
תחת administrative remplates אתה תראה שם ה-מ-ו-ן אפשרויות של הגבלות
תתחיל להשתולל

קודם כל תודה, נתת לי בעיטה בתחת וסופסוף למדתי קצת על הMMC.
בהוראות שנתת, לפי מה שהבנתי, מתואר איך ליצור פרופיל שבו אני מגדיר הרשאות והגבלות שונות. בסוף ההגדרה אני יכול לשמור את הפרופיל על כקובץ עם סיומת MSC. מה אני עושה עם הקובץ הנ"ל?
עצם זה שהכנתי אותו ושמרתי אותו לא אומר שהוא הוקצה למשתמש כלשהו... איך אני מקצה אותו?
שמתי לב שכשאני נכנס להגדרות של המשתמש שיצרתי, יש טאב Profile ובו אפשרויות עם Logon Script. האם זה קשור לעניין?
תודה רבה
אגב, חיפשתי מדריכים ספציפיים על הנושא ולא מצאתי...

אני לא בועט באנשים... מינימום שוט

עכשיו לעניינינו
ההגבלות האלה הן לא משוייכות לפרופיל אלא מוחלות על כל המחשב מלבד משתמשים אדמיניסטרטיבים.
לא רציתי להיכנס לזה... אבל :

mmc = microsoft management console

מיקרוסופט החליטו שצריך לקבוע סטנדרטיזצייה בכל מה שקשור להגדרות של מערכת ההפעלה, וזה הקונסול שיצא להם, סה"כ יש לו קצת יותר אפשרויות, אבל מה שאתה רואה מול העיניים זה קונסול של הmmc שעליו עובד מין plugin שנקרא group policy, נשמע די מעומעם, אבל יש לי סיבה למה הצגתי את זה ככה.

כאשר אתה הולך לsave אתה שומר את הקונסול, ז"א שיהיה לך אייקון שבלחיצה עליו אתה תחזור בדיוק למסך שהיית בו כששמרת, להגדרות של הgroup policy במקרה שלך.

כמו שאמרתי כבר בהתחלה, ההגבלות יחולו על כל המשתמשים מלבד האדמיניסטרטורים, ככה שאם תשים את הילד כ"משתמש מוגבל" אז ההגבלות יחולו גם עליו, בלי שום צורך לשמור או לעשות מעשים נלוזים כאלו ואחרים...
מקווה שעזרתי

תודה
נחמד לדעת למרות שלא נראה לי שאני אצטרך את ההגדרות ששם ...
אפשר להגיד שהאפשרות לשמור היא כדי ליצור "לינק" כדי שיהיה יותר נוח לגשת ולשנות חזרה...
למרות שלדעתי יש עוד דרך לגשת לאפשרויות האלה בלי לעשות ADD והכל... הרי איפושהו כבר יושב הקובץ הגדרות הזה (או שזה ברג'יסטרי וזהו?)
תודה בכל מקרה

בעיקרון פשוט תריץ חיפוש על המחשב שלך ל*.msc
תמצא את כולם שם

בשיטה שנתת - קוביבי - אתה למעשה מאפשר לבחור להתחיל להגביל כל מיני פונקציות במערכת. נחמד.

אבל.

ופה יש אבל גדול!

ההגבלה היא גורפת. לכל היוזרים, כולל לאדמיניסטרטור עצמו. ב- GPEDIT מקומי אין אפשרות (לפחות לא אפשרות מובנית) להחיל את ההגבלות על יוזר ספציפי או קבוצה ספציפית.

תתכונן להתחיל להסביר איך הוא יצליח להריץ את ה- GPEDIT חזרה כדי לתקן לעצמו את המגבלות במקרה והוא מנסר לעצמו את הענף שעליו הוא יושב.

כמו ששימי תיכף יגיד "נו מיקרוסופט, מה ציפית מהם?"

---------------------
מיצו
---------------------

אבל, ויש אבל גדול
חיפשתי, אמנם קצת, אבל חיפשתי, ולא מצאתי בהגדרות האלו שום דבר שכולל "אל תתן למשתמש להפעיל gpedit.msc, כך שתמיד אדמין יכול להיכנס, לשנות את ההגדרות כאוות נפשו ולחיות את חייו בשלום.
אל תשכח שהבחור בא במטרה לחסום את הילד, ואם הגבלות של "משתמש מוגבל" לא מספיקות לו כי הוא מפחד שהילד יבטל את השומר מסך והכיבוי אוטומטי של המסך, דבר שייגרום צריבה שלו וככה הלכו 500-5000 שקל (תלוי בחומרה, כמובן) אז אני מעדיף לקבוע שומר מסך ולבטל את המסך הזה כך שהוא לא יוכל להרוס.

מיקרוסופט מיקרוסופט, אבל לא מצאתי איך אפשר לכרות את הענף עליו אתה יושב, לא במחשב ביתי בכ"א, ולא כאן.

חוץ מזה, כשהיית קטן ולמדת מחשבים בעצמך, אף-פעם לא עשית שטויות? תן לבחור ללמוד, הוא רוצה ואני מעודד דברים כאלה בשימחה, הבנאדם שקניתי ממנו את המחשב פנטיום הראשון שלי שונא אותי עד היום מרב הפעמים שהמחשב הלך אליו ל"תיקון", אבל קיבלתי ממנו מספיק פעמים הצעה לעבוד אצלו בגלל הסקרנות/ידע שלי

(ככה מתחיל ספר בישול מרוקאי... LOL)

אף אחד לא תקף אותך, כולה הערתי הערה שאני חושב שיכולה לעזור. ההערה שלי לא היתה עליך ולא על הדרך בה אתה חי, רק על הטיפ שנתת.

אז תרגיע.

דבר שני, אמנם "אתה" לא יודע איך אפשר לחסום GPEDIT.MSC, אבל אני כן, והנה דוגמה קטנה:

חסום RUN
חסום CMD ואת הסקריפטים הנלווים
חסום REGEDIT
חסום CONTROL PANEL
חסום גישה כללית ל- MMC (ואם אתה מתעקש, אפשר ספציפית, פר SNAP-IN)
חסום הרצה של קבצי REG (במקרה ויש לנו עסק עם גאון שיודע בדיוק איפה נמצאים ערכי החסמיה ברג'יסטרי)

ועכשיו כנס בתור אדמיניסטרטור ונסה לצאת מהבוץ שאליו נפלת.

ועדיין, גם אם תגיד לי שיש לך דרך עוקפת, גם בהנחה שהיא אכן מצליחה להחזיר את ההגדרות המקוריות, עדיין זה יוצר מצב שבו אתה, בתור אדמינ', צריך להזיע קשות כדי לשחרר את עצמך מהמגבלות שאתה עצמך כפית על ילד בן 5.

זה הכל.

---------------------
מיצו
---------------------

אז מה אתם אומרים, יש דרך לחסום את הדברים האלה רק בפני משתמשים מוגדרים?...
ניסיתי למצוא בגוגל אבל - אין כלום...

אז הווריד שלי עדיין לא התחיל לרעוד

תשמע, אם הכנסת את עצמך לבוץ כל-כך עמוק, אתה תצליח לצאת ממנו בכוחות עצמך, כי תמיד אפשר לחזור אחורה, ואני לא אתחיל אפילו למתוא לך דרכים עוקפות כי זו לא הנקודה.
הילד גם-ככה כמשתמש מוגבל לא יכול לשנות את הגדרות הGPO ככה שאין לבחור סיבה לשנות את הכל ההגדרות שנתת, כך שהוא די מכוסה מהעניין הזה.

וסתם לידע אישי - אני הזעתי הרבה יותר כדי להגביל ילדים קטנים בני 18-20 ברשת שלנו ולמרות שלחלקם יש אדמין מקומי אני מאמין שעשיתי עבודה די טובה גם בלי להכניס את עצמי לבוץ שלא יכולתי לצאת ממנו, אז בבקשה, למרות שאתה מרגיש די מאויים, תזכור שאני בא כחבר

במקרה הכי גרוע - תשיג windows PE - זה מגניבבבב!!!

שכחת מיצו להגביל מקלדת
ולהגביל SYSTEM RESTORE
ולהגביל קליק ימני
ולהגביל כך ש SAFE MODE לא יעלה
פחחחחחחחחחחחחחח..........
הכל אפשרי

אני חושב שאם תשים סורגים מסביב למחשב זה ייתן לו את ההגנה הכי בטוחה
או שפשוט תשים פיוז חלש בין החיבור של המחשב לחשמל ככה שבכול פעם שידליקו את המחשב תהייה הפסקת חשמל, ככה בטוח אי אפשר יהיה להרוס אותו

למה לא פשוט להציף את הרצפה של החדר במים, לשים את המחשב על הרצפה, לחבר את המחשב ישירות לזרם הראשי בלי פיוז הגנה, ופשוט לחכות?

---------------------
מיצו
---------------------

Magic Card
המצאה ישראלית
תריץ חיפוש בגוגול,
זה מה שעושים בבתי הספר,

זה כרטיס שמתקינים במחשב,

הווינדוז לא מכיר בו...


תפרמט תפרוץ תמחק
ריסטרט, והכל חוזר
=)

לפי דעתי זה טעות להגביל את הילד. רק ככה לומדים.
אישית, בלי היכולת שלי לגרום לאבא שלי לפרמט את המחשב כל יום, לא הייתי מצליח להגיע לשום דבר במחשבים. פשוט נכנסתי לכל אפשרות שקיימת, בלי לדעת מה היא עושה, ולהבין דרך הנסיון את זה.
במקומם, הייתי יוצר לילד מחיצה משלו, עם מע"ה משלו, ויוצר גוסט שכל פעם שהוא ידפק, ההורים יוכלו לשחזר בקלות.

איתי.

לינק אדום לציטוטים!!!!!!!!!!

אתם פה עקשנים.
מנסים לדאוג לזכויות של הילד הזה...
תעזבו... אני יודע שסקרנות זה טוב וכל הבלה בלה הזה, אבל להורים, למען האמת, אין טיפת מושג במחשבים - ככה שליצור גיבוי מערכת ולשחזר הגדרות זה לא ממש הצד החזק שלהם...
אז כדי לחסוך להם את הטירחה והכסף שעולים כל התיקונים - אני נותן להם כלי פשוט ויעיל שהם לא צריכים להתעסק איתו כמעט (אם הם ירצו להתקין לו משהו זה יהיה דרך המשתמש שלהם והם יצטרכו לעשות LOGOFF כל פעם כדי שלא תהיה לו גישה).

תודה לכל אלו שדואגים לחופש הביטוי וזכויות הפרט (וכו'...) אבל השאלה שלי הייתה איזה כלים יש לי כדי לחסום אותו ולא *אם* לחסום אותו... אהה, ואל תעלבו לי :-)

אגב, אני למדתי את כל מה שאני יודע על מחשבים לבד לגמרי, אבל לא הרסתי כלום עד שהיה לי מחשב שהיה רק שלי. אני עדיין עושה טעויות אבל אני משלם עליהם (הצ'יפ ביוס שלי הלך בדיוק לפני חודש כי עדכנתי לגרסה לא נכונה, ואני מצידי צחקתי ואמרתי "מנסיון לומדים" למרות שהנסיון הזה עלה לי 25 דולר...
תודה לכל העונים

זה פתרון חומרתי שאתה תוקע בתוך המחשב, ואתה מגדיר נפח כלשהוא במחיצה (עדיף מקסימום שהכרטיס תומך) ל difflog של הכרטיס. כשלא עולים במצב Admin (הדורש סיסמא), כל שינוי (כלומר פעולת I/O של כתיבה) מפוענחת על ידי הכרטיס ונרשמת במחיצה המיוחדת. כל פעולה read קודם בודקת האם ה read מאותו מקום מושפע מ write קודם לתוך מחיצת ה diff, ואם כן, נותנת את המידע ששונה ממחיצת ה diff. אם לא, מהמחיצה האמיתית. המידע במחיצה האמיתית לא משתנה כלל בשום מקרה (פשוט אין אפשרות כזו), ולכן כשתפעיל את המחשב מחדש, מידע ה diff מתאפס, ואתה חוזר בעצם למצב של המחשב כפי שהוא היה לפני ההפעלה מחדש.

הכרטיס לא יקר, והוא תומך במגוון רחב מאוד של סוגי מחיצות (כולל לינוקס, BSD, וכו').

זה טוב גם בתחום השרתים המבוזרים; כשיש לך שרת ששום דבר לא אמור להשתנות בו - זה כלי מצויין בטיפול בפריצות למחשבים. פשוט מנתקים אותם מהרשת, עולים מחדש במצב Admin, מתקינים את ה patch שהיית עצלן להתקין קודם, כשהוא יצא, מורידים את המחשב שוב, מחברים לרשת, ומדליקים שוב במצב לא-Admin - והשרת כאילו מעולם לא נפרץ.
* אין בעצה לעיל רמיזה שעדיף לא להתקין patchים. אולי בחלונות (שה patch לא תמיד מתקן ולעתים אף הורס), אבל זה לא קשור לעצה הנ"ל, שהינה כללית.

תם השיעור היומי בנושא Magic Card, הכרטיס שלראשונה נתקלתי בו בתיכון, לפני 6-7 שנים בערך.

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה לכל המגיבים...
עניתם על כל השאלות שלי.