|
[Admins' toolbox] Scripts per setup automatico account limitato
Ciao.
Con riferimento a questo thread, ecco qui la procedura di cui parlavo per configurare in maniera automatica una coppia Administrator/utente limitato, con gli script e le modifiche al registro necessari per rendere l'utilizzo di una configurazione di questo tipo (si rimanda al thread linkato per maggiori dettagli) il piu' simile possibile a quello di una installazione di Windows nella sua configurazione di default. Tutto cio', per venire incontro agli utenti che abbiano trovato difficolta' nel fare tutto "manualmente", come spiegato nell'altro thread. Se ci si limita ad utilizzare Windows XP con un account limitato cosi' come viene offerto, come e' noto si possono incontrare alcune difficolta' nell'utilizzo del sistema che lo rendono un po' troppo "macchinoso" e a volte poco confortevole. Con le modifiche apportate dalla procedura in oggetto, invece, si puo' utilizzare Windows in un account limitato praticamente allo stesso modo di quando lo si usa con un account amministratore, con i vantaggi in termini di sicurezza che piu' volte sono stati citati (si rimanda all'altro thread). In realta' avevo pianificato di scrivere una applicazione in .NET che applicasse queste modifiche in maniera piu' elegante, con un setup vero e proprio; ma purtroppo avrei avuto bisogno di piu' tempo e comunque ad ogni modo lo scopo e' raggiunto. Appena torno dalle vacanze, se ho tempo, provo a scrivere comunque una applicazione che sostituisca le semplici procedure batch allegate. Avevo anche pianificato di creare una sorta di addon per nLite, ma per il momento potreste integrare i files allegati al vostro custom cd di Windows, e far si' che lo script venga eseguito al termine o durante l'installazione di Windows (si rimanda alla sezione opportuna per questo). Anche per nLite, non appena avro' tempo creero' un addon per rendere questo setup gia' pronto al termine dell'installazione di Windows da un custom cd. Per ora accontentatevi :D Dunque, scaricate da qui il file zip (~156kb) contenente il setup batch e i file necessari, e avviate QuickSetup.bat.  Vi verra' chiesto il nome dell'utente amministratore che volete utilizzare come, appunto, amministratore predefinito del vostro Windows. NON scegliete l'utente Administrator (cioe' l'amministratore predefinito, quello built-in di Windows). Potete scegliere un utente esistente qualunque (verra' elevato automaticamente ad Administrator se necessario), oppure scegliere di crearne uno nuovo, nel qual caso dovrete digitare un nome utente non ancora utilizzato. Scelto l'utente che vorrete utilizzare come administrator, per le operazioni straordinarie sul vostro Windows, allo stesso modo dovrete scegliere l'utente "limitato" che sara' l'account col quale utilizzerete Windows normalmente, per la maggior parte del tempo (in realta' l'administrator potrebbe non servirvi mai, come nel mio caso, grazie agli script che vedrete :fagiano: ). Anche qui, potrete scegliere un utente esistente o un nuovo utente. Nel primo caso, se l'utente selezionato appartiene al gruppo Administrators, gli verranno rimossi i diritti di amministratore, in modo da trasformarlo in utente limitati. Se scegliete un nuovo nome utente, quell'utente verra' creato senza i privilegi di amministratore. Non sara' ovviamente consentito di selezionare lo stesso utente come amministratore e limitato. Scelti i due utenti, vi verra' suggerito di disabilitare l'Administrator built-in di Windows, poiche' e' spesso vittima di alcuni tentativi di vario tipo da parte di malware o estranei che cerchino di forzare il logon del vostro Windows dall'esterno. Vi suggerisco di farlo. Fatto cio', verranno copiati gli script e altri file necessari. La procedura, in tutto, richiede 10 secondi. Quando terminato, fate log off e log on con l'utente limitato che avevate scelto, e provate ad usare il sistema. Funzionalita' aggiunte dagli script all'account limitato: - AdminCMD: qualcuno di voi avra' gia' provato i precedenti script che avevo postato nell'altro thread. Questo comando (Start->Run->AdminCMD) esegue un prompt dei comandi, con privilegi di amministratore, ma usando l'utente corrente, cioe' quello limitato. Gia' questo di per se' vi evita di loggarvi come amministratore nel caso dobbiate fare qualche modifica al sistema. Cmq e' poco pratico, per cui vi sono altri comandi aggiunti che migliorano le cose.   - AdminExplorer: Start->Run->AdminExplorer. Avvia un Windows Explorer con privilegi di amministratore, analogamente con il comando precedente. Rimpiazza il vecchio comando AdminShell. NOTA: dietro suggerimento di M@tt82, che ringrazio, ho aggiunto al setup automatico una barra (leggi qui)che in Explorer/Internet Explorer vi indichera' al volo se Explorer e' eseguito come amministratore, oppure come utente limitato. Il semaforo rosso indichera' che la finestra e' eseguita in modalita' amministratore, mentre il semaforo verde comparira' quando eseguirete Explorer/Internet EXplorer come utente limitato. La comodita' di questa shell e' enorme. Potete fare di tutto, senza dovervi loggare come amministratore.   - AmIAdmin: da avviare in un prompt dei comandi, verifica se esso e' eseguito in modalita' limited user o amministratore.   - AdminMMC: Start->Run->AdminMMC <nome management console file> Esegue MMC come amministratore :D Es. AdminMMC Gpedit.msc, avvia group policies editor AdminMMC SecPol.msc, avvia la gestione delle security policies AdminMMC CompMgmt.msc, computer management ecc ecc  - RunAsAdmin: Start->Run->RunAsAdmin <nome e percorso programma, file, ecc> Avvia il programma o file richiesto, naturalmente con privilegi di amministratore. Attenzione: per ridurre i flash delle schermate necessarie alla modifica temporanea dell'utente e al lancio dei processi come amministratore, ho utilizzato una piccola utility chiamata cmdow.exe che consente di nascondere e minimizzare le schermate. Per le funzioni di cui dispone, questo file e' a volte erroneamente identificato da alcuni antivirus come pericoloso. Semplicemente: ignorate. Non e' affatto pericoloso, e' una semplice utility. (rif. leggere qui) (aggiornamento) Attenzione: leggete qui in merito a cmdow.exe nel caso il vostro Antivirus vi segnali la presenza di un virus (che, ripeto, virus non e'). (aggiornamento) Ho reso disponibile anche un altro zip praticamente uguale, ma senza cmdow.exe nel caso preferiate non utilizzarlo sul vostro sistema. Potete scaricarlo qui. A parte i comandi, ora viene il bello :D Ho aggiunto al setup delle chiavi di registro che vi consentono di avviare programmi, esplorare cartelle, ecc ecc, con privilegi di amministratore, con un semplice click del pulsante destro del vostro mouse sulla cartella o programma cui volete accedere o che volete eseguire come amministratore (specie se attivate le restrizioni sul software e non potete eseguire, con account limitato, setup di programmi legittimi che vogliate installare nel sistema). Folders: Facendo click col pulsante destro del mouse, vi compariranno due nuove voci. - Command prompt with administrative rights: avvia il prompt dei comandi come amministratore, con il solito sfondo rosso, nella cartella da noi selezionata - Explore with administrative rights: avvia Windows Explorer, come amministratore, nella cartella da noi selezionata. Utilissimo per installare programmi ecc ecc senza cambiare utente e neanche usare i comandi :D  Files: Facendo click col destro sui files (es programmi, documenti, ecc), quel programma o file verra' eseguito con privilegi di amministratore, direttamente, e automaticamente. Utile per installare programmi anche da un Explorer con privilegi limitati :D Questo comando contestuale risolve i problemi del RunAs gia' presente in Windows. Nota: gli scripts richiederanno la password dell'amministratore e dell'utente limitato soltanto la prima volta. ;)  Per ora e' tutto. Sicuramente ci saranno aggiornamenti ecc, ma per ora dovrebbe bastare :D In seguito aggiungero' la procedura per configurare automaticamente anche restrizioni del software e firewall IPSEC. Stay tuned!:D Rimando comunque gli interessati all'altro thread per ulteriori informazioni, anche su come applicare manualmente questa configurazione. Ho scritto e testato la procedura in Windows XP nella versione Professional inglese, ma non dovrebbero esserci problemi con la Home (attendo conferme, purtroppo non ho la possibilita' di verificare di persona perche' mi manca), ne' con Windows localizzato in altre lingue quale l'italiana. Ovviamente, pur avendo testato gli script per un po' prima di postare il tutto, vi invito a fare dei test su una macchina di prova o virtual machine, prima di eseguire la procedura sulla installazione di Windows che usate normalmente. Se non modificate gli script, leggete attentamente le istruzioni a video e pensate prima di confermare una azione, non dovreste avere problemi e al termine il tutto dovrebbe funzionare egregiamente. Naturalmente, sono qui sempre a disposizione nel caso incontriate difficolta'. Buon setup :) ps: perdonatemi se non ho scritto anche una copia in italiano, ma ho scritto questi script in inglese per abitudine e perche' li possa utilizzare anche al lavoro, cosi' da evitare procedure manuali. Cmq non e' che ci vuole molto a tradurre, se proprio ne avete bisogno. Update 28/08/2007 Bugfixes - piccolo bugfix per la esecuzione di programmi con percorsi contenenti spazi ecc., quando avviati da un explorer col menu contestuale (tasto dx). Adesso dovrebbe eseguire qualunque applicazione da qualunque percorso, senza alcun errore. Aggiunte Per rendere piu' comodo e veloce l'uso dei comandi, ho aggiunto questi shortcuts per avviare gli elementi piu' usati con diritti amministrativi, senza digitare i comandi piu' lunghi - Gpedit.cmd: equivalente a AdminMMC gpedit.msc - Secpol.cmd: equivalente a AdminMMC secpol.msc - Services.cmd: equivalente a AdminMMC services.msc - ControlPanel.cmd: per avviare direttamente il control panel come amministratore, senza passare per un explorer amministrativo. |
Grazie mille per l'impegno che ci stai mettendo!:)
Cmq Kaspersky Internet Security 7.0 The requested URL http://www.stealthmeasures.com/Limit...countSetup.zip is infected with not-a-virus:RiskTool.Win32.HideWindows virus Ahahahahah:D :ciapet: :D Aspetto il test di qualche collega e poi lo provo. Ciao |
Quote:
E meno male che l'avevo detto! :D Non e' un virus, e' quella piccola utility di cui parlavo per nascondere le finestre. Puoi tranquillamente ignorare l'alert dell'antivirus, fidati. :) edit: spiego un attimo meglio. La piccola utility, cmdow.exe, consente ad es. in un file batch ti nascondere o minimizzare una finestra. Consente anche altre azioni che vengono classificate "pericolose" in quanto un attacker o malware potrebbe utilizzarla per compiere operazioni illecite sulle finestre di determinati programmi. Ma se attivate le restrizioni sul software, e seguite questo setup, cmdow.exe non puo' essere eseguito da altri se non da voi. Un programma, file batch, ecc che si trovi al di fuori delle cartelle consentite per l'esecuzione dei programmi (ribadisco che dovete attivare le restrizioni sul software, altrimenti l'account limitato da solo e' piu' vulnerabile - si rimanda all'altro thread) non potrebbe essere eseguito in maniera non autorizzata da se' quindi non potrebbe utilizzare cmdow.exe. Se ritenete che cmdow.exe sia un rischio (e con la configurazione suggerita in realta' non lo e'), avete due possibili scelte: 1 - rinominate il file cmdow.exe con altro nome, es. __cmdow.exe o altro nome a vostra scelta, e aggiornare i riferimenti negli script .cmd. Funzionera' uguale, ma questo comando non verrebbe trovato da un eventuale malware che malcapitatamente (o per mancata configurazione delle restrizioni sul software) venga eseguito nel sistema e che voglia usarlo per nascondere processi, finestre, ecc. 2 - cmdow.exe non e' indispensabile per la procedura in oggetto, poiche' e' semplicemente usato per ridurre un po' i "flash" delle finestre durante l'elevazione temporanea dei diritti dell'utente, per eseguire il comando desiderato come amministratore. Potete dunque eliminarlo se preferite, ed eliminare i riferimenti negli script .cmd. Non cambiera' praticamente nulla circa il funzionamento. Spero sia chiaro. :) |
Quote:
Non era per quello! Ti pare sono un noobs ? :ciapet: Aspetto altri riscontri per vedere se il tutto causa problemi o crash di windows! Cmq sempre complimenti per l'impegno.:) |
Quote:
Tranquillo, nessun crash ecc. ;) |
Sto testando il nuovo script su Windows Vista Home Basic (ovviamente su macchina virtuale) :p
Sembra che non funzioni al 100% in quanto sulla versione HB non c'è possibilità di settare le restrizioni sui software e gestire gli utenti tramite gli strumenti di amministrazione.... faccio un altro pò di test e ti faccio sapere ;) |
Quote:
Cmq non cambia molto: la differenza e' che in tal caso, poiche' non ci sono restrizioni sul software, si potranno eseguire applicazioni da ovunque anche senza il Right Click->Run with administrative rights. Anche se puo' sempre servire nel caso un sw sia scritto male e non funzioni con account limitato. Grazie per le prove cmq :D |
Ho aggiornato il primo post, includendo un link ad un altro zip senza cmdow.exe. A voi la scelta.
|
Smanettandoci un pò, mi sono ritrovato con l'account limitato trasformato in Administrator, infatti riesco ad avviare tutto senza limiti :eek:
Forse la versione HB non è buona per fare esperimenti... provo con la Premium e ti aggiorno ;) Ps: ti faccio volentieri da tester :D |
Quote:
|
Scusa un attimo, fermi tutti :eek:
hai lanciato lo script, da uno standard user di vista??? :eek: Se si', LOOOOOOOOOOOOL :D :asd: |
Quote:
|
Quote:
No, non e' normale che l'utente rimanga come Administrator. Quando vado a casa verifico di nuovo, giusto per vedere se puo' essere un problema con Vista. |
Quote:
Ora comunque provo ad installare la versione Premium e vedere un pò cosa riesco a combinare. |
Quote:
Giusto per verificare che tutto funzioni con XP come lo e' stato per me ieri mentre finivo di scrivere gli script ecc. Grazie ;) |
Quote:
|
Quote:
|
Ho la possibilità di testare lo script solo su Vista Premium e Xp Professional, ti faccio sapere come va nel pomeriggio ;)
|
Quote:
|
Quote:
Mille grazie in finlandese? :sofico: |
| Tutti gli orari sono GMT +1. Ora sono le: 17:03. |
Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.