[WindowsNT]

1. Политику делать только в Computer Configuration;
2. В политике ликвидировать тип файла LNK;
3. В политику добавить путь до логон-скриптов (скажем, \\Domain.Name\NetLogon)

http://blog.windowsnt.lv/2011/05/30/...h-srp-russian/
http://blog.windowsnt.lv/2013/07/03/...iting-russian/

[tamba]

Все бы хорошо, но на уровне компьютера данная политика работать не хочет, хоть после перелогина, хоть после перезагрузки...Делал и так как Вы советовали, перед этим прочел кучу статей, где все описано, как это замечательно работает.. Ан нет!!! А на уровне пользователя получается описанный выше бардак На тестовом ноутбуке вообще все позапрещалось, систему вот свежую поставил, думал мало ли чаго, так там и скрипты мои по маппингу и переименованию сетевых дисков как то работают теперь не так Медленно сползаю падстол...

[__sa__nya]

Цитата tamba:

чтобы никто, к кому она применяется ни установить ничего не смог »

- а вот это лучше реализовать, оставив пользователям только пользовательские права (убрать права Администратор, Опытные пользователи и т.п). Если что-то и смогут установить (типа mail.ru агента) - на параметры системы никак не повлияет.

Цитата tamba:

не запустить(скажем с флешки иди приняв по почте), »

- Даже если запустит, права пользователя опять же не дадут внести изменения в систему.

Цитата tamba:

Хочется остановить творящуюся в сети анархию, что бы всех на коротком поводке держать.. »

- Опять же поможет ограничение прав.

[WindowsNT]

Dear tamba,
Опишите конкретно и точно все предпринятые шаги по настройке политики в Computer Configuration. Сколько компьютеров делал, все работали. Статья написана как раз для того, чтобы всё сделать беспроблемно.

Dear __sa__nya,
Права стандартного пользователя не удержат пользователя от установки нежелательных программ (например, Google Chrome) в папки профиля. Более того, ограничение привилегий не поможет защититься от запускаемого с флешки или интернетов вируса, шифрующего все доступные документы. Было бы лучше, если бы вы тоже ознакомились с Software Restriction Policies (SRP).

[__sa__nya]

Цитата WindowsNT:
Было бы лучше, если бы вы тоже ознакомились с Software Restriction Policies (SRP) »

Я с ними очень хорошо знаком ( на моем основном сервере, например, где много критичных служб, антивируса просто нет - т.к. неоднократно бывали случаи когда он создавал проблемы в работе этих служб; и в итоге я получал от антивируса вреда больше чем пользы и сервер я обезопасил как раз с помощью SRP), просто прочитав первый пост автора, считаю что начать лучше с ограничения прав.

[tamba]

Значит так: в контейнере Others(где 17 пользователей) создаю и связываю с ним новый объект GPO, под названием Test. Далее, конфигурация компьютера-конфигурация Windows-Параметры безопасности-Политика ограниченного использования программ - создать новую политику ограниченного использования программ. Далее, Уровни безопасности-делаем "Запрещено№ уровнем безопасности по умолчанию. Назначенные типы файлов, в окне выделяем LNK - удалить-ОК. И, собственно, перелогон или ребут(не важно) клиента. Все... Только по-фигу мороз..
Все как работало, так и работает дальше... Ну нет у меня уверенности, что не смотря на мои предупреждения и слова генерального на планерке об опасности, кто то не получит и не попытается открыть пакость, шифрующую файлы...
Решил потренироваться дома. Там еще причудливее: все то же самое проделываю, локальная политика мгновенно срабатывает, и... ваще ничего не работает!!! Там Windows7 Ultimate x64/ Запускается только Office. Не, RSP по сути, классный инструмент, только у меня как то не так, как я того хочу работает... Мож я что не так понял и переоценил его возможности?

[WindowsNT]

Dear tamba,
1. Вы не можете объект с настройкой Computer Configuration привязывать к OU с пользователями, он работает только для компьютеров. Это же Computer Configuration.
2. Я сказал "опишите конкретно и точно". Не можете связать два слова — показывайте снимки экрана. Чудес не бывает, где-то вы делаете не так, как в инструкции, это факт. Любой сбой типа "вообще ничего не работает" означает, что сработало конкретное правило для конкретного пути или хэша.

Компьютер — это машина, она слепо подчиняется человеку, свои фантазии не привносит.

[tamba]

Чудес не бывает, это правда, просто в действие вступают законы и правила, которых мы не понимаем или понимаем не так... Точно, объект GPO не привязался к OU с пользователями, этого я не учел... Сделал так: в консоли "управление групповыми политиками" в ветке Users "Мой домен" создал подразделение Etc Comp's, куда покидал компы тех пользователей, используя консоль AD Users and Computers... , с которым связал созданную политику Test c настройкаами политики ограниченного использования программ и установленным уровнем безопасности "Запрещено" по умолчанию. В "Назначенные типы файлов" удалил LNK(что бы по задумке ярлыки срабатывали). Все остальное оставил по дефолту, дополнительных правил для пкти или хэша не создавал... Вуаля! Политика применилась, ка и должно было быть... Но послышались звонки от недовольных через 30 минут( у меня в дефолтной политике прописано, что бы он через 30 минут обновлялись на клиентах, заместо положенных 90). Не работает установленное ПО-запрещено политикой. Это Libre Office, браузеры, почтовые клиенты Thanderbird и The Bat! Без проблем работает только пО от MS (Office и то, что с виндой). Пришлось пока отвязывать политику.

[WindowsNT]

Опять нет конкретики - из какого пути не запускались программы, каково было сообщение об ошибке и т.д. С таким описанием вам никто помочь не сможет.