← Вернуться в раздел «Microsoft Windows»

» Запрет на установку программ

Автор: VVVWWWVVV
Дата сообщения: 23.05.2012 11:23

Доброго времени суток! Как пользователям запретить установку программ через AD?
Собственно интересуют браузеры. Ибо необходимо, чтобы на компах можно было использовать только один Internet Explorer. На данный момент запрещена запись в каталог Program Files и разрешена установка программ только от имени администратора. Но каким-то чудесным образом Safari удается устанавливаться в Program Files.
Остальные зверьки (Mozilla, Opera, Chrome) ставятся в каталог пользователя. Все это происходит под обычным пользователем. Что делать, товарищи?

Автор: Alleras
Дата сообщения: 23.05.2012 11:49

Вам поможет только запрет на запуск любых программ, кроме указанных в списке:
http://forum.ru-board.com/topic.cgi?forum=8&topic=9073

Автор: shadow_member
Дата сообщения: 23.05.2012 19:37

VVVWWWVVV
Не знаю, поможет ли... Security Guard 3.3. В ней можно найти два варианта: «Запретить запуск указанных программ» и «Запретить запуск программ, кроме указанных».

Автор: FrenkHorrigaN
Дата сообщения: 23.05.2012 19:55

а если в брандмауере виндовс запретить доступ к сети всем браузерам,кроме ИЕ, то это разве не изменит ситуацию к желаемому?

Автор: VVVWWWVVV
Дата сообщения: 24.05.2012 08:43

FrenkHorrigaN
а можно поподробнее?

Добавлено:
пришла в голову идея о запрете записи в ветку реестра HCU.
такая настройка в AD есть только в конфигурации компа. В пользователе можно только добавлять ветки реестра. Есть какие либо варианты запрета на эту ветку через конфигурацию пользователя?

Автор: Seduxen
Дата сообщения: 24.05.2012 12:01

Здесь автор рекомендует использовать конфигурацию компьютера, как основную.

Цитата:

рекомендую выполнять базовую конфигурацию SRP на уровне Computer Configuration, а User Configuration использовать только для расширения области действия политики для некоторых групп пользователей.

Советую просмотреть и комменты- познавательно.

Автор: shadow_member
Дата сообщения: 24.05.2012 15:18

Кстати, Security Guard все дела решает через реестр.

Автор: N999HH
Дата сообщения: 24.05.2012 15:21

SRP не лучший вариант, требует детальной настройки, иначе пользователь найдёт нужную папку и запустит своё приложение. Например скрытая папка AppData туда некоторые проги сохраняют свои настроийки поэтому пользователю запуск лучше из неё не запрещать, или даже в C:\Windows ProgramFiles могут найтись папки в которые может записывать пользователь. Что бы посмотреть все такие папки можно воспользоватся программой AccessEnum. Но я бы поступил проще и использовал бы родительский контроль Windows, который есть во всех 7 в отличии от SRP. Родительский контроль позволяет просто и удобно настроить список разрешённых программ, остальные пользователь запускать не сможет. Если не ошибаюсь правила для программ родительский контроль устанавливает только для исполняемого файла, поэтому пользователь не сможет запустиь свою программу найдя незакрытую правилом запрета папку, как в SRP, и никак не сможет подменить программу разрешённую в правилах, если у него нет прав.

Автор: VVVWWWVVV
Дата сообщения: 24.05.2012 15:40

Seduxen
Огромное спасибо! То что нужно!

shadow_member
Мы решили обойтись без стороннего софта.
N999HH
без комментариев

Автор: N999HH
Дата сообщения: 25.05.2012 00:46

VVVWWWVVV

Опыт приходит не сразу. Всё же советую отказатся от SRP во избежание лишнего опыта и использовать applocker или родительский контроль, хотя хозяин барин, просто помочь хотел.

Страницы: 1

Предыдущая тема: Масштабирование шрифта в приложениях

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.