настройка пользовательской учетной записи в Windows XP
 

[имеем]
комп, предназначеный для работы с установленной на нем winxp sp2, учетных записей две: админская и юзерская.

[задача]
ограничить юзеру все, что не касается работы по максимуму. то есть:
1. запретить доступ к cd-rom, запретить подключение съемных дисков к USB
2. запретить инсталяцию любых приложений
3. запретить изменение настроек экрана, да и вообще доступ к панели управления.
4. запретить запуск приложений (кроме некоторых необходимых для работы).
думаю, список далеко не полный, так что если будут мысли по поводу того что еще можно "урезать" (желательно с решениями), welcome :)

SaDem4eg извини что пользуюсь твоей темой но у меня похожий вопрос

[имеем]
комп, предназначеный для работы с установленной на нем winxp sp2, учетных записей две: админская и юзерская.

[задача]
1. запретить юзеру Unistall программ поставленных админом или при установке WINXP
2. Разрешить юзеру инсталировать/деинсталировать программы для своих нужд.

Допустим админ поставил MS Office - им может пользоваться любой кто залогинется на комп, но вот деинсталировать его может только админ. Но вот пользователю понадобился фотошо, он запросто ставит его и пользуется в свое удовольствие. Почуяв что можно ставить все что угодно пользователь ставит гейму, приходит админ и деинсталирует ее.

[решено] Отключение портов USB
DeviceLock

Пользователь и так не может ничего ставить (почти).

[решено] Разграничение политик для пользователей
Другой вариант - воспользоваться твикером типа такого. Методика простая:

• даем учетке админские права;
• заходим под ней, твикаем;
• выходим, возвращаем пользовательские права (отнимаем админские).

Как ограничить пользователя определенным перечнем программ разрешенных для запуска

Petya V4sechkin, а DeviceLock умеет разрешать копирование с носителей файлов с только определенным расширением?

в /Program Files да, а в /111 кое-что может...
как сделать так, чтобы юзер не смог вообще ничего ставить?

SaDem4eg, ваш вопрос, пункт 4.

возник еще вопросик - как запретить юзеру переименовывать исполняемые файлы или все файлы вообще?

Это невозможно, но и не нужно. См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

инфу изучил, но видимо чего-то недопонял.
мои действия:
пуск -> выполнить -> secpol.msc
лезу в политики ограниченного использования программ, в папке "уровни безопасности" по дефолту выбираю "не разрешено"
в папке "дополнительные правила" создаю правило для хеша - через обзор указываю exe-шник, в строке "безопасность" указываю "неограниченный".
логинюсь под бесправным юзером, пробую запустить программу, для которой создал правило.
если запускать программу из папки, где она лежит - она запускается. но если создать для нее ярлык на рабочем столе и пытаться запустить программу, кликая по ярлыку - запуска не происходит, как не происходит и запуска тех программ, для которых правила не созданы...(
пробовал создавать аналогичные правила и для этого ярлыка - результат прежний...
подскажите, в чем проблема? хотелось бы запускать приложения ярлыками на рабочем столе или в меню пуск->программы, а не лезть постоянно в programm files.

SaDem4eg
При "Не разрешено", не будет запускаться ПО, которое явно не разрешено. Для ярлыков попробуйте добавить правило для пути...

P.S. Вот еще статья по теме http://technet.microsoft.com/ru-ru/m.../cc510322.aspx

здесь не про висту, случайно?..
имхо правило для пути - бесполезная вещь, так как по этому пути можно накидать что угодно и запускать оттуда.
нужно сделать так чтобы работали правила для хеша исполняемого файла и ярлыка для него. ну просто жЫзненно необходимо.) выручайте умным советом...

SaDem4eg, я же выделил жирным - используйте gpedit, а не secpol. И логику правил измените - запретите все, разрешите нужные.