У меня есть компьютер с Windows 7 и два пользователя. Один из них — Администратор, другой — ограниченный пользователь.
Ограниченный пользователь должен иметь доступ к интернету, но не должен иметь доступа к каким-либо сетевым ресурсам любых компьютеров в локальной сети. Лучше всего, если он даже не увидит, что в локальной сети есть какие-либо компьютеры и рабочие группы.
Администратор должен иметь обычный доступ к Интернету и локальной сети.
Как мне этого добиться?
РЕДАКТИРОВАТЬ:
Я не могу управлять другими компьютерами в локальной сети.
Как вы думаете, будет ли достаточно оставить домашнюю группу на этом компьютере?
решение1
Вполне возможно, что есть и лучшие решения. Но вот одно из них:
- Не предоставляйте этому пользователю разрешения на доступ к вашим общим ресурсам или даже явно запрещайте ему это.
- Отключите службу браузера компьютера для этого пользователя. Действительно примитивным подходом было бы отключить ее, и поскольку для ее включения вам нужно быть администратором, вы сами можете это сделать, а ваш пользователь — нет. Другой подход — скрипт входа/выхода, который это делает.
решение2
Это гораздо более обширный ответ, чем вы могли бы ожидать, и он содержит множество переменных.
Во-первых, вам нужно учесть уровень знаний вашего "пользователя". Если высококвалифицированный пользователь (или хакер) может сидеть за компьютером... то мало что он/она не сможет сделать. Технически подкованный пользователь может знать, как получить прямой доступ к общим ресурсам, но, вероятно, не сможет сделать больше, получив простое сообщение "доступ запрещен". Обычный пользователь не будет знать, как получить доступ к сетевому ресурсу, если для него нет ярлыка.
Что вы подразумеваете под «сетевыми общими ресурсами»? Вы говорите о реальном «сетевом ресурсе Windows» на отдельном сервере Windows? Если так, просто установите разрешения, чтобы разрешить/ограничить пользователей по своему усмотрению. Как правило, если у пользователя нет разрешений на сетевой ресурс, он не может получить к ним доступ. Просмотр \some-server\share приведет к дружественному приглашению на вход с требованием ввести имя пользователя/пароль (если он не вошел в домен) или просто к сообщению «Доступ запрещен» (если он вошел в домен и не имеет разрешений). Разрешения могут быть назначены администратору, чтобы предоставить ему все, что ему нужно. Что касается «скрытия этого»... это возвращается к уровню навыков пользователя. Вы не можете фильтровать сетевые подключения по пользователю, только по IP-адресу, порту или другому «сетевому» атрибуту. После того, как сетевое подключение установлено, вы находитесь во власти уровня приложения для поддержания безопасности. К сожалению, нет возможности применить объект групповой политики к правилам брандмауэра для каждого пользователя.
Если вы хотите ограничить «внешний вид» сетевых ресурсов, вы можете многое сделать с помощью групповых политик, которые могут скрыть или ограничить видимость различных сетевых ресурсов... но это обсуждение может стать довольно длинным и к нему действительно не следует подходить легкомысленно.
Если вы говорите о Network-Share на "домашнем" устройстве (маршрутизатор? nas? ???) с частично реализованным стеком SMB, вы действительно находитесь во власти производителя. Если он не запрашивает имя пользователя/пароль, вы не так уж много можете сделать.
Если вы говорите о чем-то другом... нам нужно больше информации.