Dva účty na jednom počítači - zabezpečení

[imunita]

Dobrý den,
Mám možná takový nevšední dotaz.
Vlastním PC, na který má přístup můj SYN a JÁ. Na PC jsem vytvořil dva účty, můj účet jsem zahesloval. Stále měl syn přes tento počítač možnost vstoupit do mých složek, což se mi podařilo nějakým způsobem zamezit a nyní to vyžaduje heslo, ale heslo to vyžaduje i v případě, že syn chce nainstalovat hru/program, což samozřejmě nechci. Také mi vadí, že všechny stažené soubory se ukládají do jedné společné složky u obou účtu, do které mají přístup oba a to jak z prohlížeče, tak z torrentů.

Chci tedy mít rozdělení na dva účty, s tím, že do mého nebude mít žádný přístup.
Stahování souborů bude mít každý zvlášť v jiné složce a on se do mé nedostane.
Mít pro syna možnost instalovat hry a programy bez vyžadování hesla.

Je to možné? Existuje nějaký "návod", kde je toto vše popsáno jak to udělat?

Děkuji

[Reklama]

[petr22]

Technicky neproveditelne.

Zpristupneni toho druheho uctu a vsech slozek je otazka nekolika kliku mysi.

Jedine reseni daneho problemu je dva pocitace.

[faraon]

1. "Chci tedy mít rozdělení na dva účty, s tím, že do mého nebude mít žádný přístup."
   Viz nastavení přístupových práv jednotlivých uživatelů. V unixových systémech funkční od roku 1970, Windows už to také umí, relativně.
   
2. "Stahování souborů bude mít každý zvlášť v jiné složce a on se do mé nedostane."
   Přímo v prohlížeči lze povolit volbu "Dotázat se před každým uložením", takže můžeš ukládat i jinam než do společné kupy hnoje, nejlépe do svého domovského adresáře. Nastavení bude platit také pro konkrétního uživatele. Tedy pokud nepoužíváš M$ odpad IE/Edge.
   
3. "Mít pro syna možnost instalovat hry a programy bez vyžadování hesla."
   Vyloučeno a přímo zakázáno! Instalovat programy smí jedině správce počítače, a to budeš ty, nikoliv synátor. Ve skutečnosti bys to neměl dělat ani ze svého uživatelského účtu, ale jedině z dobře zaheslovaného účtu Administrátora, který se nikdy nesmí používat k běžným činnostem ohrožujícím systém.

[ITCrowd]

Ono jde všechno, ale není to jednoduché.
1. Varianta s účty - syn pouze práva user, tím je zaručeno, že se ti do tvých složek nedostane. Ale nebude moct nic nainstalovat.
2. Varianta 2x disk. Předpokládá dvě instalace windows, každá na jiném disku. Windows instalovat vždy jen na určený disk, další disk(y) nesmí být během instalace připojeny. V BIOSu nastavit bootování na synův disk. V případě potřeby mého "účtu" během startu počítače stiknout klávesu pro výběr bootovacího media (často F10) a zvolit si svůj disk. V synově PC druhý disk zakázat ve správci zařízení. Nicméně, pokud bude mít syn kvůli instalaci admin práva, pak tvůj disk může připojit. Aby se ale dostal k souborům, bude muset převzít vlastnictví, podle toho lze poznat, že se ti tam vloupal. Záleží na inteligenci tvého syna. Tomuto lze zabránit skrytým mechanickým vypínačem napájení disku.
3. Dva disky a bootovací manager. S úspěchem aplikováno na win98. Opět každý disk se svou instalací windows. Jako boot manager jsem tehdy použil XOSL. Ten umí jednak určitý systém chránit heslem (tedy pro spuštění tvého systému by chtěl heslo), jednak má volbu znepřístupnění disku. Tedy přihlášený syn by disk viděl, ale hlásil by se mu jako neznámý. Bohužel XOSL už dávno není vyvíjen, navíc pro instalaci potřeboval oddíl FAT na disku.
Pravděpodobně nejjednodušší bych viděl variantu 2. S tím, že by sis koupil rámeček na disk, zapojil ho místo mechaniky, a disk vždy po ukončení práce vyjmul. Tím budeš mít zaručeno, že se syn ke tvým datům nedostane.

[Microsheep]

Pokud ti jde pouze o přístupu do konkrétních složek (nevadí sdílení stejného OS, programů apod.) Nejjednoduší způsob je šifrovat data. Pokud nemá tajný klíč/certifikát uživatele, tak může mít jakákoliv oprávnění a data/soubor/složku/partition nepřečte. Kdyby jsi měl verzi Win Proffesional (např. Bitlocker, EFS - to už je taková nadstavba ntfs). V tomto případě samozřejmě klíč musí být mimo počítač. (např. kdyby si použil šifrovaní EFS s vlastním certifikátem účtu by mohl nabootovat medium, smazat tvoje heslo - otázka 2 minut a poté by získal i přístup k souborům).

Stále platí, že je lepší mít vlastní zařízení a šifrovat celý disk. Jinak je veškeré řešení takové krkolomné.
Nebo použít kombinaci 2x disk s výběrem bootmenu jednotlivého disku + tvůj disk bude např. šifrovaný bitlockerem. TPM předpokládám stolní komp nebude mít, ale lze to i bez s PINem při startu a zazálohovat obnovovací klíč. Nemuselo by se ani mechanicky vypínat disk, to ale ovšem neznamená, že ti ho nemůže naformátovat