Запрет изменения времени и пароля
 

Добрый день!
Имею на работе компьютерный регистратор переговоров.
В продолжении моей темы по скрытию некоторых функций через реестр.
Нужно попроще закрыть доступ к возможности изменения текущего системного времени и пароля входа в систему.
Это нужно для исключения привязки файлов записей речи к ложному текущему времени, после его произвольного изменения.

По возможности запрета изменения времени совершенно не в курсе как это сделать.
А по паролю добился исключенния из панели управления почти всех пунктов удалением файлов с папки System32 с расширением *cpl
но остался самый важный "Администрирование, его не убрать".

Вопросы

1.Как закрыть доступ к изменению времени (возможно реестром)
2.Как закрыть доступ к изменению пароля входа в систему (тоже возможно реестром)

Попался тут мануал по реестру но непонятно как закрывается там доступ к настройкам паролей и каким паролям тоже непонятно
привожу текст

"Как ограничить доступ к настройкам паролей
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\System
создать NoSecCPL =1 DWORD И ...Ничего. :)

Obichn,
например через Локальные политики.
Пуск - Выполнить - secpol.msc - Локальные политики - Назначение прав пользователя - Изменение системного времени.
или же через утилиту NTRights.

для каких групп пользователей?

У меня один пользователь - Администратор.
Не нужно закрывать вообще часы и для пользователей, которых нет, - тоже. Нужно просто как-то скрыть их показания.
Через реестр подозреваю? Так и лучше было бы.
Часы есть в программе магнитофона и там ими только пользуются оттуда время не изменищь. Этого вполне достаточно. А вот системные часы показывать и менять показания крайне нежелательно. Я не говорю о БИОСе туда не каждый лазает, а только об индикации их хода и изменения показаний которые наличествуют в трее.

С ограниченными правами пользователя программа плохо работает - уже отказался от этого, остался один реестр только, тут все хорошо проходит.

Не пробовал secpol.msc и утилиту, нужно подробнее если не трудно. -- Пользователей нет.

Теперь, - с паролем вроде решил - закрыл вообще панель управления в реестре, то есть если пароль входа в систему еще где изменить нельзя, то нормально. Но подозреваю, что где-то еще можно менять?

Вот теперь показания часов и их подводку бы убрать в реестре.

Obichn, Что, с точки зрения безопасности, не есть хорошо. Создайте отдельно пользователя с правами пользователь. Он ни время поменять не сможет, ни пароль.
Процесс создания пользователя:
Пользователь создан, теперь включаем его в группу "Пользователи":

За ценную подсказку спасибо, у меня все время были проблемы с созданием пользователя. Я еще раз потом попрбую.

Но до этого момента когда я начал все закрывать реестром, я создавал пользователя с ограничением прав. Но вот беда, программа магнитофона какая-то навороченная и ни в какую не хочет правильно работать если ей управлять из пользователя. Пришлось отказаться.

В отношении реестра нашел все что мне нужно. Осталось только скрыть показания часов в трее.
И как-то уже жаль уходить от этого метода. Уже много времени потерял и самое главное, все изменения в реестре совершенно не калечат программу магнитофона, она прекрасно работает.

Думаю, что в реестре наверняка есть такая возможность, но показания времени-то вещь нужная вот никто и не озабочивался этим вопросом. А тут специфика регистратора переговоров, - безопасность движения поездов и нужно чтобы время не могли увести от реального.

Политика же есть: Административные шаблоны\Меню "Пуск" и панель задач -> Удалить часы из системной области уведомлений.
Соответствие в реестре для текущего пользователя: параметр HideClock в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

Obichn, Возможно проблема кроется в разрешении на запись в папку, куда установлена данная программа. Допустим настройки программы общие для всех пользователей и хранятся в корневой папке программы, куда простой пользователь не имеет прав записи, было такое в некоторых старых программах.
Попробуйте в параметрах безопасности на папку программы добавить пользователю разрешение на запись.

Petya V4sechkin,
Во, во наконец-то все скрылось реестром. Спасибо за помощь, остальное попробую потом

morozoff,
Тоже огромное спасибо. Ценная информация. Этим я тоже потом займусь.

После этого о любых попытках ограничений можно забыть.

На данном этапе, после оказания мне здесь помощи по программе минимум, меня это пока устраивает. Так как на линии из всех начальников станций, дежурных и башмачников, дай Бог найдется ноль целых и ноль десятых знающих компьютер. Вот удалить прямо из папки когда она на виду. Это всегда пожалуйста. А это имело место, папка была на виду в корне дисков.

Что касается программы максимум, - вот если бы Вы мне настроили компьютер, а это уже безрезультатно пытались сделать наши сетевые админы (программа магнитофона упорно отказывается работать с ограничениями), то я Вам был бы весьма благодарен.
На фирме производителе этих регистраторов вот уже 15 лет этого почему-то не могут сделать.

Obichn, ряд производителей последнее время устанавливают по умолчанию свои программы (навскидку: , uTorrent; Google Chrome имеющий два варианта установщика: для администратора и для простого пользователя) не в папку Program Files, а в папку профиля того пользователя, который должен этими программами пользоваться.

Соответственно вспомогательные папки программы и папка, куда складываются результаты, должна находиться также в папке (профиле) пользователя. Но для старых программ при установке в профиль пользователя может также потребоваться дать дополнительные права этому пользователю на её ключи реестра.

Отрицаю нахождение программ в папке профиля. Программы должны устанавливаться в Program Files, затем (при необходимости) корректироваться разрешения доступа. Запуск любых исполняемых модулей из папок профиля должен быть запрещён политиками SRP/Applocker.

Вопрос работоспособности программы с ограниченной учётной записью можно и должно решить. Зачастую этого не делается лишь из-за низкого уровня компетентности (т.е., неграмотности) администраторов. И, разумеется, Администратора вы ограничить никак не сможете, на то он Администратор и есть. Заткнув, как вам покажется, одну-две дыры, вы всё равно оставите зияющую пропасть, которой пользователи не преминут воспользоваться. Не считайте их за дураков, пользователь с правами администратора гарантированно найдёт быстрый и надёжный метод порчи компьютера.

Да испортить каомпьютер и дурак может. и у нас это зачастую делают. Просто поднимают системник и ударяют с силой им об стол. Все - хард накрылся. Регистратор в ремонте записи накрылись. Чтобы теперь прочитать нужно отдавать хард в специализированную лабораторию. Второй способ - пока система загружается несколько раз включаем и выключаем питание без перебойника, все -системы нет. Да мало ли способов. Залез просто в биос и намолотил там - все тоже самое. Здесь не нужно много ума.
А вот удалить по хитрому записи с затруднением это не каждый может. Потому как дело вовсе не в дураках - регистраторы стоят на станциях, а там персонала с соответствуюшей квалификацией просто нет. Конечно, если что серьезное, как у нас например, было - дежурные матом костерили начальника и всякие гадости про него плели, не знали что пишут, только поставили. Когда начальник за это разобрался, прочитав эту гадость, эти дежурные наняли за свои деньги специалиста из Питера и тот все сделал по хитрому удалил. Но это случай редкий и деньги тратить нужно, да и потом этот регистратор не черный ящик, он пишет и можно сказать весьма нежен. Так думаю дело все не только в программе, но и в сопутствующих утилитах. Она настолько многофункциональна, что в ней работают еще ряд настроек в разных папках, например имеется настроечный файл в папке Windows в панели управления имеется функция автоматической настройки прерываний, дравер платы магнитофона очень сложно завязан с системой, платой, программой и даже с биосом - программа настраивает его под плату, что перевести всю эту трехомудию в пользрватель....? До сих пор специ не смогли а что я? Мне начальник приказал скрыть все с глаз долой я и убрал (конечно спасибо этому ресурсу - хорошо помогли). А уж чтобы совсем все позакрывать - пройдет время когда раскроется секрет скрытия, тогда будем думать и скорее всег не без помощи программистов фирмы производителя.
А то что Вы говорите что это все туфта, так я и сам это знаю, конечно это только потемкинские деревни для Екатерины. Ну хоть так-то на первых порах. Я же не претендую на то что я все закрыл. Нет конечно, Как говорят знаю я узнают и другие, только это вопрос времени. Да это так и я это понимаю. :)

Цитата:

Цитата WindowsNT Вопрос работоспособности программы с ограниченной учётной записью можно и должно решить. »

К сожалению, не всегда.

Цитата:

Цитата WindowsNT Зачастую этого не делается лишь из-за низкого уровня компетентности (т.е., неграмотности) администраторов. »

Разработчиков, которые продолжают использовать методики начала 90-х, в лучшем случае — 2000-х.

Obichn, попробуйте Microsoft Application Compatibility Toolkit. И на самый крайний случай — AdmiLink.

Потом буду пробовать и изучать. Возможно буду консультироваться у Вас. А пока, и просто надоело и пусть так поработает, да и другие дела подпирают, а потом дальше видно будет.
Всем спасибо :) Откровенно говоря, приятно работать с Вами на этом ресурсе.
Ставлю пока проблема решена.