» запрет на запуск любых программ кроме указанных

gpedit.msc -> конф. польз. -> адм. шабл. -> стстема -> "Не запускать указанные приложения Windows". Включаю, вписывать пробовал просто Iexplore.exe и с полным указанием пути пробовал (и даже вместе ). Закрываю консоль, перезагружаюсь, захожу юзером с правами простого юзера и открываю internet explorer, именно то что мне надо запретить.

kazavo4ka
А шаблон-то ты применяешь к кому? Или он сам по себе существует?
Достаточно указывать имя файла, без полного пути.

The Bug

Цитата:

А шаблон-то ты применяешь к кому?

Ну ятак понимаю что если я редактирую в локальной политике раздел конфигурация пользователя - то применится ко всем пользователям на компе. Я не прав?

помогите разобраться, раньше резал "запуск только определенных прог" через реестр, теперь требуется для упрощения работы резать через GP. итак, исх. данные: домен 2k3, контейнер групп, в этом контейнере нужная политика, направленная на определенную группу. задача: ограничить доступ запуска прог, за исключением выбранных. проблема: выставил ограничить все, за исключением, в паке доп. правила пытаюсь создать путь к разрешенным exe-шникам, и тут возникает трабл- exe-файл ищется только на домене, мне же нужно выставить путь на компах. т.к. у компов этой группы образ одинаковый, следовательно и путь одинаковый. и еще, если просто вклюаю "запретить все", то все равно политика не применяется, почему? я даже галочку поставил, чтобы эту полиси другие политики не перекрывали, а проги все равно запускаются. помогите плиз. и желательно без воды. на все доп. вопросы с радостью отвечу.

а, еще добавлю, мне нужно это сделать в групповой политике(которая в ad лежит), мне локальную политику юзать смысла нет. это получится опять 25. заходить на все компы, входить админом и менять настройки лок политики. господа, вопрос у меня именно про груп полиси, которая создана в контейнере, который лежит в ad пользователи и компьютеры. жду ответа, очень надо, а то начальник сожрет.

rezets

Цитата:

пытаюсь создать путь к разрешенным exe-шникам

Пиши просто exe'шники через запятую (Winamp.exe,Qip.exe и т.д.)

это я уже понял, вы мне расскажите, почему у меня политика не применяется

Добавлено:
политика(которую я юзаю) находится в контейнере, в котором находятся куча групп. в настройках я выставил что применяется она только к группе operators, так вот поставил я там эти настройки по ограничению использования прог, в настройках политики поставил галочку "не перекрывать эту политику" и все равно политика не фурычит. что я еще неправильно выставил?

rezets
На компах то обновил политику? Перезагрузкой или gpupdate /force

перезагружал.

Делал так, создал 2го пользователя с правами админа поставил XP Tweaker RE 1.52
настроил всё (указал проги каие можно запускать) запаролил XP Tweaker...
сменил права этого пользователя на ограниченые (из под админа) и всё... никакого гемора... если покапаться в этой проге можно много чего настроить...

у меня винбуст стоял, я с ним и с реестром все урезал юзверям, но понимаешь, это все работает, но неэффективно. вот понадобилось тут разрешить доступ группе к какой-нибудь новой проге, тебе придется лезть на каждое железо, добавлять эту прогу в список разрешенных. а сколько таких моментов. вот я и решил через GP все это дело рулить. так что жду дальнейших советов, что я еще не так сделал.

Добавлено:
так, люди, общая политика работает, но разрешенные проги так же запрещены. как правильно проги вводятся? я так понимаю, создаю путевую ссылку, а в окне "путь" пишите допустим calc.exe. расскажите как правильно вписывать разрешенные проги.
p.s. путь, я так понял, вписывать необязательно.

Добавлено:
kazavo4ka
kazavo4ka
kazavo4ka


Добавлено:
пока ждал ответа сам разобрался. что-то ребята вы долго тупите. но все равно, спасибо всем, кто пытался помоч

Ребята изходите из того что нужно запретить а не разрешить. То есть по умолчанию разрешите все проги а ненужные запретите соответственно если у вас появится новая прога то она будет по умолчанию разрешнена. делать все лучше через gpedit.msc
конфигурация компьютера/параметры безопасности / политики ограниченного использования программ/дополнительные правила/правой кнопкой - создать правило для хеша (объясняю- туда помещается сам запускаемый файл и указывается запрещено или разрешено ) и с этого момента как бы файл не назывался в какой бы директории не находился этот файл не будет запускаться даже под админом. В домене все тоже самое только через групповые политики. И Все проблемы решены.

anatoliy27190
это работает только на WinXP
а у меня много Win200 как там можно решить эту проблему ?

ох, люди, что же вы так мучаетесь?
Делаем вот что:
1) создаем требуемого юзера, если еще не создали
2) убираем у него права администратора
3) открываем проводник, находим папку программы или просто файлы, которые мы не хотим предоставлять юзеру, жмём свойства, переходим в безопасность, ставим запрет юзеру на доступ или выполнение файлов при этом проверяем, что для нужных программ у него доступ есть (настройка по умолчанию)

Добавлено:

Цитата:

создать правило для хеша (объясняю- туда помещается сам запускаемый файл и указывается запрещено или разрешено ) и с этого момента как бы файл не назывался в какой бы директории не находился этот файл не будет запускаться даже под админом

все ухищрения с хешированием файла или указанием его имени легко обходятся изменением этого хеша или имени у самого файла, например упаковки его упаковщиком и переименованием — проще всего запретить пользователю установку новых программ или написать монитор окон, остлеживающий запущенные приложения по заголовкам и классу окон или другим параметрам, но это уже сложнее (требуются навыки и среда программирования ).

Ситуация: есть WinXP, в домене. Контроллер под windows 2000 Advanced server. Сделал ограничение на запуск П.О. в локальных политиках XP. Поставил по умолчанию запрет всего, короме разрешенных программ. Применил (gpupdte). Применилось.

Но есть одна проблема: если запускать разрешенную программу путем запуска exe-шника (например, перейти в c:\windows\notepad.exe и щелкнуть по нему), то программа запускается, а вот если щелкать по ярлыку - нет. Компоненты приложений разрешены, LNK в список разрешенных компонентов входит. Что я неправильно делаю?

Решил проблему созданием правила для пути вида "*.lnk:неограниченно".

Запрещение запуска программ
Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.

Для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...

Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0

блин, профтыкал )
Понадобилось добавить еще одну програмку, а я регедит.ехе я не добавил. Как добавить регедит.ехе теперь?

Chika1
Переименуй regedit.exe в любое, разрешённое тобой в реестре, имя. И пользуйся.

altshift

Цитата:

Переименуй regedit.exe

Лучше скопировать в другое имя

Спасибо!

Поглил. Нашел несколько статей. Особо порадовала возможность ограничения запуска по хешу.
Политики ограниченного использования программ
Как использовать политики ограниченного использования программ в Windows Server 2003

народ а как сделать запуск разрешённых программ не по хэшу, а по имени?
знаю что могут переименовать, но пока нужно так, а то компов много, и версии программ у некторых отличаются, например на некторых машинках стоит офис XP на других 2003
и таких прог с разными версиями штук 5-6 наберётся...
просто нет пока времени и возможности перевести все на единый софт...
можно конечно пройтись по всем компам собрать все версии exe а потом сесть и понаделать правил с хэшем на них

да и где можно почитать про создание батников/скриптов для атоматизации сего процесса с примерами

щас мучу правила, поставил в уровне безопасности не разрешено...
зашёл пользователем ни один exe не запускался окромя тех что в Program Files в груповой политике было разрешение (создается по умолчанию) удалил перезапустил но всеравно все из Program Files запускается

вся проблема в том что особо догадливые юзвери могут запустить любую прогу созданием ярлыка на нее или из консоли...
было б хорошо какой нибудь программный комплекс чтобы можно было прописать конкретные программы разрешенные для запуска с блокировкой всех остальных... ну или наоборот...
главное чтоб переименование и подобное не помогало...
а вручную прописывать разрешения для каждого ехе как по мне нереально, как предлагалось запретить доступ в политиках безопасности...

ярлыком не получится проверял, из консоли тоже...
кстит есть вариант не по хэшу, его тоже могут подправить а по пути...
например J:\Program Files\Far\Far.exe и сделать запрет на запись в Program Files, тогда far.exe можено будет запустить только из J:\Program Files\Far\ туда нельзя будет скопировать др прогу с именем far.exe

а про ручное да, туго, потому и ищу скрипты как писать но нигде нету в понятной форме на русском

Как я понимаю если у юзера остаются права локального админа, он может просто похерить групповые политики по запуску прог на своем компе, по крайней мере локально? Случай с доменом w2k3, юзера xpsp2.
Вопрос стоит так , можно ли , не отбирая прав админа, как то ограничить запуск и установку оперделенного списка прог с помощью ГП? Я такого способа не нашел, может кто подскажет

slay1212

Цитата:

Вопрос стоит так , можно ли , не отбирая прав админа, как то ограничить запуск и установку оперделенного списка прог с помощью ГП?

Однозначно и категорически нет. Нужно пересаживать на учетку ограниченного пользователя.


Цитата:

Как я понимаю если у юзера остаются права локального админа, он может просто похерить групповые политики по запуску прог на своем компе, по крайней мере локально?

Именно. Есть даже способы затруднить применение групповых политик, работая под ограниченной учеткой, не то что под админом.

Значит увы, как я и думал. Понизить права не получается юзеры - программисты, пишут и софт и дрова, в тч и на линуксе. Просто была мысль как то прибить хотя бы возможность игрушек по заданному шаблону списку прог. Остается только файл реестра всем принудительно накатить с рестриктами соответствующих прог, и периодически отслеживать его наличие Опять же в нерабочее время разрешено играть . Так что и по времени привязывать надо.

slay1212

Ну и что с того, что юзеры - программисты? Они тестируют свои произведения в промышленной сети? Есть ПО виртуализации, как бесплатное, так и коммерческое - ставьте и принуждайте их работать в нем. Создавайте лабораторию для программистов.

Цитата:

свои произведения в промышленной сети?

Вот именно. Вся фирма это

Цитата:

лаборатория для программистов

Я б конечно большинству админские права урезал . Увы не мой вопрос, да и не реально, ибо они и ставят софт сами и собирают модули и тестят. Виртуалки и другой софт ес- но юзается. Но требование заказчиков - обязательные тесты в реальной сетке, поскольку обычная сетевая среда для асу именно такая - многосегментная сетка без доменов, грубо просто помойка. В моей сетке есть и домен и рабочие группы.
Так мой вариант насчет регфайла прокатит?

slay1212

Цитата:

Так мой вариант насчет регфайла прокатит?

Нет. Они же локальные админы - с легкостью снимут все ограничения. А то, что будут пытаться и ежу ясно - они ведь "крутые программеры".