[Pit_bul]

SaDem4eg извини что пользуюсь твоей темой но у меня похожий вопрос

[имеем]
комп, предназначеный для работы с установленной на нем winxp sp2, учетных записей две: админская и юзерская.

[задача]
1. запретить юзеру Unistall программ поставленных админом или при установке WINXP
2. Разрешить юзеру инсталировать/деинсталировать программы для своих нужд.

Допустим админ поставил MS Office - им может пользоваться любой кто залогинется на комп, но вот деинсталировать его может только админ. Но вот пользователю понадобился фотошо, он запросто ставит его и пользуется в свое удовольствие. Почуяв что можно ставить все что угодно пользователь ставит гейму, приходит админ и деинсталирует ее.

[Petya V4sechkin]

Цитата SaDem4eg:

1. запретить доступ к cd-rom, запретить подключение съемных дисков к USB

[решено] Отключение портов USB
DeviceLock

Цитата SaDem4eg:

2. запретить инсталяцию любых приложений

Пользователь и так не может ничего ставить (почти).

Цитата SaDem4eg:

3. запретить изменение настроек экрана, да и вообще доступ к панели управления.

[решено] Разграничение политик для пользователей
Другой вариант - воспользоваться твикером типа такого. Методика простая:

• даем учетке админские права;
• заходим под ней, твикаем;
• выходим, возвращаем пользовательские права (отнимаем админские).

Цитата SaDem4eg:

4. запретить запуск приложений (кроме некоторых необходимых для работы).

Как ограничить пользователя определенным перечнем программ разрешенных для запуска

[SaDem4eg]

Petya V4sechkin, а DeviceLock умеет разрешать копирование с носителей файлов с только определенным расширением?

[SaDem4eg]

Цитата Petya V4sechkin:

Цитата SaDem4eg: 2. запретить инсталяцию любых приложений Пользователь и так не может ничего ставить (почти). »

в /Program Files да, а в /111 кое-что может...
как сделать так, чтобы юзер не смог вообще ничего ставить?

[Petya V4sechkin]

SaDem4eg, ваш вопрос, пункт 4.

[SaDem4eg]

возник еще вопросик - как запретить юзеру переименовывать исполняемые файлы или все файлы вообще?

[Vadikan]

Цитата SaDem4eg:

как запретить юзеру переименовывать исполняемые файлы или все файлы вообще? »

Это невозможно, но и не нужно. См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения

[SaDem4eg]

Цитата Vadikan:

Это невозможно, но и не нужно. См. Применение политик ограниченного использования программ для защиты от несанкционированного программного обеспечения »

инфу изучил, но видимо чего-то недопонял.
мои действия:
пуск -> выполнить -> secpol.msc
лезу в политики ограниченного использования программ, в папке "уровни безопасности" по дефолту выбираю "не разрешено"
в папке "дополнительные правила" создаю правило для хеша - через обзор указываю exe-шник, в строке "безопасность" указываю "неограниченный".
логинюсь под бесправным юзером, пробую запустить программу, для которой создал правило.
если запускать программу из папки, где она лежит - она запускается. но если создать для нее ярлык на рабочем столе и пытаться запустить программу, кликая по ярлыку - запуска не происходит, как не происходит и запуска тех программ, для которых правила не созданы...(
пробовал создавать аналогичные правила и для этого ярлыка - результат прежний...
подскажите, в чем проблема? хотелось бы запускать приложения ярлыками на рабочем столе или в меню пуск->программы, а не лезть постоянно в programm files.

[Vadikan]

SaDem4eg

Цитата:

Неограниченный (Unrestricted) или Не разрешено (Disallowed) Политика ограниченного использования программ создается с помощью оснастки Групповая политика (Group Policy) консоли управления MMC. Политика состоит из правила по умолчанию, которое определяет, позволено ли приложению выполняться или нет, а также из исключений из этого правила. Правило по умолчанию может иметь значение Неограниченный (Unrestricted) или Не разрешено (Disallowed) – что по существу означает: запускать или не запускать приложение. Установка правила по умолчанию Неограниченный (Unrestricted) позволяет администратору определять исключения – например, набор программ, которые нельзя запускать. Более безопасным подходом является установка правила по умолчанию Не разрешено (Disallowed) и разрешать выполнение только известных и доверенных программ.

При "Не разрешено", не будет запускаться ПО, которое явно не разрешено. Для ярлыков попробуйте добавить правило для пути...

P.S. Вот еще статья по теме http://technet.microsoft.com/ru-ru/m.../cc510322.aspx