У тебя должна быть файловая система NTFS - только он поддерживает права доступа для файлов и папок.
1) Пользуясь возможностями NTFS, можно убрать все права доступа для папки Windows для обычного пользователя и внутри этой папки назначить права на чтение+выполнение для обычного пользователя (я так не экспериментировал, так что не знаю, какие могут быть "глюки" при работе системы). Также рекомендую посмотреть на Обход перекрестной проверки. А администратору что-либо запрещать бессмысленно - он может при желании вернуть все обратно (чего только стоит низкоуровневый доступ), а вот под ограниченным пользователем такое возможно только если он найдет у тебя дырки (например: ты папку Windows назначил владельцем обычного пользователя - серьёзная ошибка, дающий обычному пользователю полный доступ к этой папке).
2) Насчет Win+R - в групповой политике настраивается и отключается (Удалить команду "выполнить" из меню "Пуск").
3) Какие именно свойства?
Цитата:
|
запускать regedit, msconfig и т.д.
|
Можешь переправить права доступа NTFS для тех EXE файлов и сделать невозможным их запуск. Можно использовать групповую политику, чтобы сделать запрет на запуск некоторых встроенных средств Windows'а (в частности актуально для файловой системы FAT - там нет прав доступа), но возможностей NTFS для таких целей хватает. Также можно отредактировать шаблон безопасности и автоматизировать тем самым переустановку прав доступа.
Но следует учесть, что без политики SRP (Software Restriction Policies) пользователи могут притащить, например, комплект программ от Sysinternals и альтернативный редактор реестра и запустить...
И ещё - тебе действительно нужна такая безопасность? Ограниченный пользователь итак не может изменять данные в системе...
