» Запрет на установку ПО пользователями

Стоит домен, на сервере сервер 2003 на клиентах ХР ПРО.
Пользователи заходят на свои компьюетрами с провами power user.
Постоянно то специально то не понятно как но на компьюетрах появляются установленные мелкие программы. Возможно всё это устанавливаеться через странички в интернете...
Вообщем как запретить установку таких програм? Возможно ли через групповую политку это вс провернуть используя стандартные средства винды?
Заранее спасибо.

Дать им права юзеров, и убрать из группы повер-юзеров, по крайней мере в Program Files записать ничего не смогут.

ktototam

Цитата:

Дать им права юзеров, и убрать из группы повер-юзеров, по крайней мере в Program Files записать ничего не смогут.

Нельзя. Это игровой клуб... Много игр идут только под правами PowerUser (а некоторые и подавно админские требуют).
На счёт папки програм файлес то тоже не получиться, програмы могут быть установлены в любую другую дерикторию...

Cuba

Цитата:

Нельзя. Это игровой клуб...

Дык, для игрового клуба есть же спецпроги - локеры всякие. И будет тебе и учёт времени и запрет на установку прог.

Duke Shadow

Цитата:

Дык, для игрового клуба есть же спецпроги - локеры всякие. И будет тебе и учёт времени и запрет на установку прог.

"Всякие" локеры только считают время, а мне нужна помощь как с помощью групповой политике или виндовыми средствами ограничить доступ к установке новых программ... особенно всяких мелких со страниц интернета...

Cuba

Цитата:

Пользователи заходят на свои компьюетрами с провами power user.

Так юзеры заходят локально на свою машинку или идут учетной записью из домена?
Если локально, то могу предложить идею по поводу всяких твикеров софтовых и всяких ключиков в реестре....ничего более подробного предложить не могу.
У меня была схожая ситуация, только юзеры под 98, был сервачек под 2000 - только для учетной программы клуба, так я на юзерские машинки поставил ключик, что у них на раб. столе была только кнопку Пуск, а в ней только игры и оффис, и как параноя уже наша рус прога Ширма, которая закрывает разные папки и диски, нечто WinBoost.

vworld

Цитата:

Так юзеры заходят локально на свою машинку или идут учетной записью из домена?

Учётной записью из домена. Но на локальном компе он как PowerUser.
Уточнение: На всех компах стоит ntfs.

Cuba

Цитата:

Учётной записью из домена

Так профиль из домена ИМХО юзера берется, причем тут локальный
Цитата:

PowerUser

vworld

Цитата:

Так профиль из домена ИМХО юзера берется, причем тут локальный

В домене этот пользователь числиться как domain user....
Когда я просто захожу этим пользователем на этот компьюетр то он не может запускать множество програм, таких например как icq.... Приходиться на каждом компе указывать что вот этот пользователь обладает правами power user и всё. Я другого выхода не знаю

Cuba
Бррррр, что я запутался ....как то не так у тебя все организовано.
Есть у тебя сервачек с доменом, есть юзеры этого домена, так просто пройдись по машинкам юзверей с админским логином и паролем из домена и поставь все проги, какие надо, а локальных юзеров на машине и не создавай...ИМХО так надо.

Cuba

Цитата:

"Всякие" локеры только считают время

"Всякие" может быть. А нормальные как раз выполняют кучу полезных для клуба функций. В них бывает и смотрелки всякие и браузеры собственного производства встроены, чтобы посетители не занимались чем попало. А уж запрет на установку новых прог есть точно.

Duke Shadow

Цитата:

А нормальные

так вот и подскажи если знаешь название таких локеров человеку, ну и ссылку тоже хорошо

Duke Shadow

Цитата:

А уж запрет на установку новых прог есть точно.

Ну и? Как этот запрет то включить?

Добавлено
vworld

Цитата:

Бррррр, что я запутался ....как то не так у тебя все организовано.
Есть у тебя сервачек с доменом, есть юзеры этого домена, так просто пройдись по машинкам юзверей с админским логином и паролем из домена и поставь все проги, какие надо, а локальных юзеров на машине и не создавай...ИМХО так надо.

Дак поставить то я поставлю из под админа.... а вот потом они работать не будут из под этого domain user'а !!!
Я видел только два выхода:
1. В домене указать что эти пользователи domain admins (что не есть правильно)
2. На локальных машинах указать что данный Доменный пользователь PowerUser.

Добавлено
vworld

Цитата:

так вот и подскажи если знаешь название таких локеров человеку, ну и ссылку тоже хорошо

Да есть у меня уже программа котрая считает время и она меня устраивает полностью. А тот тип програм который умеет делать это это и это и даже вот это (универсальные) мне из принципа не нужны.

Cuba
Не знаю, что у тебя там в сети такое, но у меня все прекрасно работает....сервак под Win2K, юзера 98 и 2000pro, вчера буквально ставил на машинку с w2Kpro. В домене есть учетная запись юзера, пришел на машинку - поставил винду, а затем зашел под админом сделал сетевые настройки и поставил оффис с 1С....зашел под юзером домена и все вам пжл работает, а юзер ничего не могет поставить

vworld

Цитата:

Не знаю, что у тебя там в сети такое, но у меня все прекрасно работает....сервак под Win2K, юзера 98 и 2000pro, вчера буквально ставил на машинку с w2Kpro. В домене есть учетная запись юзера, пришел на машинку - поставил винду, а затем зашел под админом сделал сетевые настройки и поставил оффис с 1С....зашел под юзером домена и все вам пжл работает, а юзер ничего не могет поставить

Ну а ты попробуй поставь сейчас icq... и зайди в неё простым таким пользователем и увидешь...
А таких прог как icq навалом котрые не хотят работать под обычным пользоватлем

Icq старая программа, базы хранит не в My documents а в Program Files, запись в который простому юзеру заказана, поэтому она и не запускается. Собственно полностью запретить устанавливать программы невозможно, всегда найдёться каталог типа темр, открытый на запись, можно предельно усложнить установку программ для пользователя скрыв всевозможные Пуск-Выполнить с помошью тогоже самого винбуста.

ktototam

Цитата:

Icq старая программа, базы хранит не в My documents а в Program Files, запись в который простому юзеру заказана, поэтому она и не запускается. Собственно полностью запретить устанавливать программы невозможно, всегда найдёться каталог типа темр, открытый на запись, можно предельно усложнить установку программ для пользователя скрыв всевозможные Пуск-Выполнить с помошью тогоже самого винбуста.

Нуто что всё скрыть невозможно то это да, но всё же... когда маленькая программка устанавливается и грузиться вместе с компьюетром и висит постоянно в трее, да и постоянно грузит процессор, постоянно на экран вываливаются какие то порно странички, когда в сам internet explorer встраивается какая то панелька то это нормально? Это конкретно в сис. файлы лезут проги... Вот как это запретить? что можно сделать?

vworld

Цитата:

так вот и подскажи если знаешь название таких локеров человеку, ну и ссылку тоже хорошо

Пошутил что ли? Я же не админ клуба. Вроде astalavista достаточно популярна. Судя _только_ по фейсу (а кто ж мне её в руках покрутить-то даст) в клубах именно она стоит. У юзера - набор икон для запуска прог, какой-то непонятный проигрыватель (скорее всего самописный) - фильмы смотреть, вроде браузер есть.
Это наверно в Гуглю нужно. "Система управления компьютерным клубом" искать. А потом выбирать под свои задачи.
Просто этот вопрос обычно решается при создании клуба. В настоящее время найти нормальный клуб с незалочеными компами имхо невозможно.

Duke Shadow

Цитата:

В настоящее время найти нормальный клуб с незалочеными компами имхо невозможно.

Ошибаешься...

И всё же кто может что-то действенное посоветовать. Неужели с помощью средств самой винды нельзя ограничить всё это?

Cuba
Я вот тут на досуге подумал, и мне кажется, что с прогами такими маленькими никак не сможешь бороться, т.к. виндовые средства ИМХО отлавливают только те проги, которые идут через WinInstaller, а многие проги через него и не идут, а некоторые вообще не требуют установки. Как вариант могу предложить прогу Ширма - она закроет папки и диски и поставить уже ничего нельзя будет, сам правда не пробовал так делать, т.к. эта прога не может закрыть две папочки: Windows и ProgrammsFiles а это по мне уже коряво.
А вообще когда я клубаками занимался, то домен не поднимал - не было необходимости - учетная прога клубовская все делала, я только юзерские машинки настраивал, чтобы никто никуда не лазил без моего ведома.

vworld
Очень жаль что не получиться закрыть...
Просто есть же доменные политики разные спомощью которых ограничить доступ к изменению того же explorer'a....Или нет?
З.Ы. а можно поставить именно для этого юзера доступ к папке Program Files на чтение только?

Cuba
2003 сервер я пока не успел потрогать , но в 2к все делается вот так:
При подключении компа к домену domain users входят в группу Users (локальную) этого компа и не могут устанавливать программы. Имхо, нужно так и оставить, а проги устанавливать под админом. Если некоторые проги не запускаются, скорее всего, им нужно что-то писать в реестр. Поэтому попытайтесь отследить, что и куда пишет эта прога (естессно, под админом) с помощью какого-нибудь regmon, и в политиках дать разрешения на этот ключик.

Цитата:

Просто есть же доменные политики разные спомощью которых ограничить доступ к изменению того же explorer'a....Или нет?

Посмотрите в политиках Computer Configuration/Administrativ templates/Windows componets/Internet explorer и для User configuration тот же путь

Цитата:

а можно поставить именно для этого юзера доступ к папке Program Files на чтение только?

Имхо можно. Если прога ничего писать туда не будет. А если будет - поробуйте то же самое, что и с реестром, т е все - на чтение и некоторые - на запись.

Если нужны подробности или regmon - кидайте мыло в ПМ.

Насчет regmon и filemon - все верно и часто помогает раздать нужные права, но вот с icq такая фича не пройдет в принципе!
Эта странная прога ничего неправильного в реестре и файловой системе не делает, но все равно ругается, что не Power user. Это давно известная проблема и, по-моему, пока не разрешенная никем
Сам недавно терминальный сервер настраивал - пол дня промучался с icq pro, а потом забил и поставил icq lite. В интернете по этому поводу шарил, много раз находил подобные вопросы и ни разу ни одного толкового ответа...

Насчет установки прог в Program files или например temp - многим прогам еще и в реестр нужно прописаться в HKLM, так вот это у них под обычным user точно не пройдет...


Удачи!

ALEX_SP

Цитата:

Посмотрите в политиках Computer Configuration/Administrativ templates/Windows componets/Internet explorer и для User configuration тот же путь

Хорошо...

Цитата:

Если нужны подробности или regmon - кидайте мыло в ПМ.

Буду иметь ввиду..

baturin

Цитата:

а потом забил и поставил icq lite

Хм... а лайту разве достаточно и обычного юзера?

Вообщем самое реальное помойму это сделать всех пользователями на локальных компах poweruser, а вот доступ к program files поставить на чтение...

Cuba

Цитата:

Просто есть же доменные политики разные спомощью которых ограничить доступ к изменению того же explorer'a....

Это все ключами в реестре у юзера можно поправить.

Cuba

Цитата:

Просто есть же доменные политики разные спомощью которых ограничить доступ к изменению того же explorer'a....Или нет?

Есть. Там много чего ещё есть. Например можно полностью отключить Add/Remove Program.
Посмотри ещё в узле User Configuration\Administrative Templates\System
Там есть параметры разрешенные и запрещённые приложения, попробуй с ними побаловаться.

Цитата:

Вообщем самое реальное помойму это сделать всех пользователями на локальных компах poweruser, а вот доступ к program files поставить на чтение...

Это твою проблему не решит. Устанавливать проги они всё равно как Power User будут иметь право. Сам же говорил, что они могут и в другие папки ставить.

Я тут вчера вот чего подумал - может быть твоя проблема сводится к тому, что ты бы и рад всех в простые юзеры запихать, да некоторые проги не пойдут.
По этому поводу могу предложить следующее:
1) Скачать последние версии этих прог, может в них уже пофиксен запуск под разными юзерами
2) Если не помогает п. 1, то может быть стоит поискать заменители нужных программ. Например аська легко заменяется на Миранду, TheBee! Почтовики тоже разные бывают, тот же TheBat! вместо Outlook, в TheBee! тоже почтовый клиент есть.
3) Некоторые проги требуют разрешения на запись в файлы, с которыми они работают, а в настройках никаких путей прописать нельзя. В таком случае можно попробовать подсунуть им в качестве рабочего каталог отличный от того, в котором установлена прога. Для этого делаем ПКМ по ярлыку проги, выбираем "Свойства" и на вкладке "Ярлык" ищем параметр "Рабочая папка" и заменяем в нём строчку по вкусу, например на c:\windows\temp или "Мои документы"
4) Про доступ к ключам реестра уже рассказали.
5) Дать права на доступ к каталогам, в которых установлены эти самые проги.

З.Ы.: всё же мне не понятно твоё упорное нежелание рассмотреть вариант с нормальной системой управления клубом. Не объяснишь по каким причинам не хочешь её устанавливать? Просто интересно

В W2K3 через политики можно указать, что вообще можно запускать, а что нет. В том числе с использованием вычисляемого hash. Не вижу особой проблемы пойти от того, что все что не разрешено - запрещено. И никаких проблем

Duke Shadow

Цитата:

Есть. Там много чего ещё есть. Например можно полностью отключить Add/Remove Program.
Посмотри ещё в узле User Configuration\Administrative Templates\System
Там есть параметры разрешенные и запрещённые приложения, попробуй с ними побаловаться.

Это всё уже прошерстил на миллион раз...

Цитата:

1) Скачать последние версии этих прог, может в них уже пофиксен запуск под разными юзерами

Это тоже не поможет... Если и появляются игры которые требуют админских прав, то ещё ни одна не пошла под правами простого юзера. Пример тому Age of MyFology (прошу прощения если неправильно написал название)...сама microsoft в мануале написала что только для админских прав. До сих пор в тех поддержке люди жалуются а им хоть бы что....
Так-то програм и игр не ного которым требуется power user, но всё же.... чего стоит только icq....
Дело не в том что я вот просто не хочу что-то делать или менять, а просто клиенты умеют пользоваться icq и сидят в ней. Пробовал я как-то поставить что-то наподобие icq, токо из инете страничка грузиться похожая на icq, дак человек пришёл, увидел это чудо и сказал нет спасибо, тут что-то не так и ушёл.... прихотливый народ эти клиенты...
Цитата:

З.Ы.: всё же мне не понятно твоё упорное нежелание рассмотреть вариант с нормальной системой управления клубом. Не объяснишь по каким причинам не хочешь её устанавливать? Просто интересно

С нормальной? Я много систем просмотрел и сделал свой выбор. Поверь я много по сайтам лазию и по форумам, и общаюсь с людьми которые как я выбирали себе эту "систему"... Не ну конечно если ты можешь предложить что-то особенное (то что я не знаю) то всегда пожалуйста



Добавлено
merlkerry

Цитата:

В W2K3 через политики можно указать, что вообще можно запускать, а что нет. В том числе с использованием вычисляемого hash. Не вижу особой проблемы пойти от того, что все что не разрешено - запрещено. И никаких проблем

Кстати, а вот действительно мне казалось действенный вариант, только я его не смог воплотить....
Есть в политике такая функция как выбрать файлы которые можно запускать пользователем. Токо вот я не понял, туда нужно записывать все файлы которые винда грузит или только клиентские? Например такие как excell.exe ?

Попробуй софтинку под названием AMonitor. Идея следующая, прога постоянно болтается в памяти и отслеживает названия окон или процессов и в зависимости от настроек либо отстреливает либо разрешает либо вообще не дает запустить. Я например использовал ее чтобы в фотошопе цветовые настройки не трогали. Забанил окно с определенным названием и вся недолга.

Цитата:

ktototam

Цитата:Дать им права юзеров, и убрать из группы повер-юзеров, по крайней мере в Program Files записать ничего не смогут.

Нельзя. Это игровой клуб... Много игр идут только под правами PowerUser (а некоторые и подавно админские требуют).
На счёт папки програм файлес то тоже не получиться, програмы могут быть установлены в любую другую дерикторию...

Незнаю как для 2003 но для w2k существует утилитка epal, попробуй, может подойдет, или поищи аналог для win2003.
Взять можно здесь:
http://download.microsoft.com/download/win2000platform/Utility/1.01/NT5/EN-US/epal.exe

Вот что пишет о ней сам MS:
To reach some of the benefits of deploying a Windows 2000 infrastructure it is important to limit the end-user's ability to make changes to the core components of the operating system. Windows 2000 system administrators now have the option of giving users local User or Power User privileges. Under these privileges it is possible to perform the majority of the tasks that an end-user needs to complete to get their job done. However, some non-Windows 2000 logo compliant applications may not properly run. While there are a number of issues related to application not running under a user context, it is important to distinguished between security related requirements and other issues related to application compatibility.

The Elevated Privileges Application Launcher, EPAL, tool is designed to assist a fairly narrow spectrum of the application compatibility issues. It only deals with the ability of letting an application launch under some other user privilege, so that it has access to certain components of the local registry or the file system. With EPAL the network administrator now has the ability of only giving the user local user privileges on their systems and have the application execute and some higher privilege level on the local system that they are currently logged on with.

EPAL leverages the Windows 2000 Active Directory functionality to minimize the amount of effort on the part of network administrators to manage an environment in which a user has the privilege to execute an application under some other context. It does this by creating a Windows 2000 security principal and a Windows 2000 Group. The security principal, account, is the context that EPAL will use to launch a particular application. This account will need to be a member of the appropriate elevated group of the local Windows 2000 workstation. The Windows 2000 Group is used to maintain a membership list of those users that have been authorized to run a particular application using the elevated access.