[Iska]

Цитата hozman:

1. Можно ли запретить пользователям запускать ПО, которое не нужно. »

Можно.

• Политики ограниченного использования программ.
• AppLocker.

Цитата hozman:

Народ у нас постоянно понакачает всякой чуши, типа менеджеров браузеров, Амиг и всякой дряни. Потом приходится выметать всё это метлой. Мне надоело. Вот решил упорядочить всё по тиху. »

Для начала пользователи должны быть пользователями. У Вас как с этим — пользователи, они же администраторы?

Цитата hozman:

2. На компьютере у бухгалтера уже установлено ПО для работы с банком. Имеется ПО Radius, 1С-ка, клиент банки и многое другое. Если я подключаю его к домену, оно всё будет работать или возникнут некоторые грабли? Может ли AD в чём-то ограничить рботу ПО, установленное на машине клиента изначально т.е. до подключения его к домену? »

Грабли могут возникнуть в вышеуказанном случае — если сейчас пользователь-администратор, которого надо будет перевести в обычного пользователя. У меня, впрочем, с этим проблемы не возникло. Из-за подключения к домену проблем быть не должно.

Цитата hozman:

3. Если машина в домене, ПО устанавливать нужно через домен или не обязательно? Естественно, при наличии прав... »

Крайне желательно.

[hozman]

Цитата Iska:

Для начала пользователи должны быть пользователями. У Вас как с этим — пользователи, они же администраторы? »

Обычно я делаю на компьютерах по 2 пользователям. Администратор - только для установки всего, и пользователь с ограниченными правами- для работы. Но иногда бывает так, что пользователь с ограниченными правами не может работать в некоторых программах. Сколько не пытался, например, с некоторыми клиентами, например, у снабженцев ПО для торгов (там ключ есть для торгов древесиной и т.п.) не вышло. Пришлось давать админские права.
Я так понимаю, что на локальной машине может быть пользователь администратором, но в домене то он будет уже не админ. Тогда разница то какая. Ведь как? Локально админ, но он же по факту будет в домене. И получается, что локальное админство ему уже не даст всех привелегий? Или не так?

[Iska]

Не совсем. Локальный администратор имеет все привилегии на машине.

У меня было подобное для одного приложения по обслуживанию автотранспорта. Взяли ноутбук, приложение поставили туда, машину к домену не присоединяли, от сети отвязали.

[El Scorpio]

Цитата hozman:

1. Можно ли запретить пользователям запускать ПО, которое не нужно. По критерий не нужности привести всё, что не входит в стандартный флакон винды, т.е. практически ничего, даже меньше + некоторое ПО, которое нужно для работы. »

Групповые политики содержат раздел "политики ограниченного использования программ"

Цитата hozman:

На компьютере у бухгалтера уже установлено ПО для работы с банком. Имеется ПО Radius, 1С-ка, клиент банки и многое другое. Если я подключаю его к домену, оно всё будет работать или возникнут некоторые грабли? »

Если часть настроек программ содержится в файлах/реестре профиля пользователя, значит нужно будет скопировать эти объекты в профиль доменного пользователя или произвести повторную настройку ПО. Однако часть настроек может быть привязана к UUID локального профиля.

Цитата hozman:

Но иногда бывает так, что пользователь с ограниченными правами не может работать в некоторых программах. Сколько не пытался, например, с некоторыми клиентами, например, у снабженцев ПО для торгов (там ключ есть для торгов древесиной и т.п.) не вышло. »

Увы, до сих пор не удалось окончательно вывести паразитический вид Programmist 95, представители которого привыкли писать под однопользовательские системы вроде Windows 95 и совершенно не задумываются о том, как будут работать их продукты жизнедеятельности в современных многопользовательских системах с контролем доступа.
Единственное решение - запустить программу Procmon и смотреть, к каким файлам и разделам реестра обращается проблемное ПО. Затем можно (вручную или через групповые политики) назначить этим объектам дополнительные разрешения.

Цитата hozman:

Если машина в домене, ПО устанавливать нужно через домен или не обязательно? »

Дистрибутивы msi проще всего развёртывать через групповые политики домена. К тому же это гарантирует единообразие набора ПО и актуальность версий.
Если дистрибутив сделан по иному принципу, тогда придётся устанавливать вручную. Существует возможность сделать для установщика обёртку msi или подготовить установочный пакет для локальной службы WSUS. Также сервер антивирусной защиты Касперского может создавать свои установочные пакеты.

[Trouble_Maker]

1. Как уже было указано, SRP (Software Restriction Policy) и Applocker, правда Applocker требует наличия клиентов с ОС не ниже Windows 7 Максимальная\Корпоративная. Выдачу административных прав пользователям лучше всего избегать (только по доказанной необходимости). Большему количеству адекватного софта не требуются права администратора, достаточно выдать права на папки или разделы реестра в которые этот софт пишет данные.
2. Проблем быть не должно.
3. А для чего Вам тогда домен, Вы же его для централизованного управления установили, софт можете раздавать политиками, либо скриптами\батфайлами инициализирующими установку софта из сетевой папки, как вариант.

[hozman]

Цитата Iska:

Не совсем. Локальный администратор имеет все привилегии на машине. »

Странно. Я думал, что если ПК участник домена, то у него права только те, которые ему разрешает домен.

Цитата El Scorpio:

Групповые политики содержат раздел "политики ограниченного использования программ" »

У меня почему-то в политиках нет такого. По дефолту не устанавливается данная роль?

Цитата El Scorpio:

Дистрибутивы msi проще всего развёртывать через групповые политики домена. К тому же это гарантирует единообразие набора ПО и актуальность версий. »

У меня много машин ещё на XP. Это не имеет значения?

[Trouble_Maker]

Цитата hozman:

Странно. Я думал, что если ПК участник домена, то у него права только те, которые ему разрешает домен. »

Локальный администратор он на то и локальный, что имеет административные права лишь на конкретной машине (само собой, например, на КД он никто)

Цитата hozman:

У меня почему-то в политиках нет такого. По дефолту не устанавливается данная роль? »

Это не роль. Редактор групповых политик, ветка Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Политики ограниченного использования программ

Цитата hozman:

У меня много машин ещё на XP. Это не имеет значения? »

Нет.

[El Scorpio]

Цитата hozman:

Цитата Iska: Не совсем. Локальный администратор имеет все привилегии на машине. » Странно. Я думал, что если ПК участник домена, то у него права только те, которые ему разрешает домен. »

Все компьютеры домена, не являющиеся контроллерами домена, используют две базы ACL - доменную (объекты обозначаются как "ИмяДомена\Объект") и локальную (обозначается как "ИмяКомпьютера\Объект").
При этом уровень пользователя определяются именно локальным ACL.
Разумеется, вы можете вручную указать на компьютере для определённых файлов или разделов реестра права доступа для доменных пользователей и групп. Однако основные системные права доступа при вводе компьютера в домен не изменяются. Просто доменные группы "Администраторы домена", "Пользователи домена" и "Гости домена" автоматически добавляются в состав соответствующих локальных групп.
Таким образом по схеме "доменная группа -> локальная группа -> системные полномочия" администратор домена Иванов на всех компьютерах домена будет администратором, пользователь домена Петров - пользователем, а гость домена Сидоров - гостем.
Однако если вы на каком-то компьютере добавите Петрова или Сидорова в локальную группу администраторов ("ЭтотКомпьютер\Администраторы"), то они будут работать на этом компьютере с правами администратора.
Они не смогут работать с чужими файлами и базами данных по сети (потому что на других компьютерах они будут рядовыми пользователями или даже гостями), однако поставить/удалить программу или изменить любую настройку на своём компьютере им будет вполне по силам.

Цитата hozman:

Цитата El Scorpio: Дистрибутивы msi проще всего развёртывать через групповые политики домена. К тому же это гарантирует единообразие набора ПО и актуальность версий. » У меня много машин ещё на XP. Это не имеет значения? »

Хоть Win 2000.
Дистрибутивы MSI поддерживают все версии.
Для правильного определения языка при добавлении распакованного msi в доменную политику используйте соответствующий вариант файла модификации mst из исходного дистрибутива
В частности, это требует 1С:Предприятие 8.x

[hozman]

Цитата Trouble_Maker:

Локальный администратор он на то и локальный, что имеет административные права лишь на конкретной машине (само собой, например, на КД он никто) »

Ну так тогда смысл какой? Всегда делать пользователя хотя б 2 на каждой машине? 1 для установки ПО (админский), а другой ограниченный (пользователь). Так? Тогда локально давать пользователю только те папки которые ему нужны и всё. Только так?
Но, опять же, групповыми политиками локальной машины с домена нельзя разве управлять? (Вроде я такое читал).