» запрет на запуск любых программ кроме указанных

Цитата:

Они же локальные админы - с легкостью снимут все ограничения

Дело в том что админы домена д.б в группе локал админов - требование такое. Если выкинут - поимеют проблемы. Кстати как это можно проверить попроще в батнике?
Так что в принципе время от времени можно батником с сервака проверять наличие рестрикт ключей на игрухи и восстанавливать их при отсутствии. А если они не в домене в рабочей группе (у них по нескольку операционок, заходят под разными) тогда конечно никак
Ну а не для программеров ясно - можно просто поставить обычного юзера, тогда они большинство левых программ не смогут поставить.

slay1212

Цитата:

Дело в том что админы домена д.б в группе локал админов - требование такое. Если выкинут - поимеют проблемы. Кстати как это можно проверить попроще в батнике?

"Группы с ограниченным доступом"? Максимум через 90 мин +- 30 мин после удаления все вернется на круги своя. Но это только в том случае, если пользователь не воспрепятствует выполнению групповых политик, а он может.

veryom
Спасибо большое. Узнать в домене, применяется ли на конкретной компе доменная ГП можно, если она отменена локадмином? Нужен какойто скрипт или есть штатные возможности.

rsop.msc

slay1212

Я вас, скорее всего, обманул с
Цитата:

"Группы с ограниченным доступом"? Максимум через 90 мин +- 30 мин после удаления все вернется на круги своя.

Извиняюсь.
На круги своя все вернется через 16 часов. См. http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=8921&start=820#20

fighter80

Цитата:

rsop.msc

Я вообще то имел ввиду узнать с DC применяется ли на компе доменная политика. rsop может запускаться с другого компа?

Для запрета запуска любого файла можно воспользоваться Faronics Anti-Executor. Можно создать "активный список" разрешенных программ и вуаля!

...К сожалению она не понимает досовские программы, мне нужно было дать доступ для Turbo Pascal, сколько не пытался не вышло

slay1212

Цитата:

Значит увы, как я и думал. Понизить права не получается юзеры - программисты, пишут и софт и дрова, в тч и на линуксе. Просто была мысль как то прибить хотя бы возможность игрушек по заданному шаблону списку прог. Остается только файл реестра всем принудительно накатить с рестриктами соответствующих прог, и периодически отслеживать его наличие Опять же в нерабочее время разрешено играть . Так что и по времени привязывать надо.

slay1212 Я чють со стула не упал звини но это не твой уровень ты не сможешь ограничить доступ людям которые гораздо выше тебя по уровню знаний в данной облати , похоже на попытки 5 летнего ребёнка запретить своим родителям употребление акоголя.

И ещё как можно называть програмистов пользователями ? они профы . ты пользователь .

По теме поставить следящий софт онлайн скриншоты и один раз в 10минут и полный лог запускаемых приложений , закрытие программы слежения минус зарплата запуск игры минус зарплата 10 х рецыдив и увольнение .
Все проблемы будут решены .
Какого вобще запрещать игры в рабочее время если на работе нужно работать .

69anton

Цитата:

чють со стула не упал звини но это не твой уровень

А ты уровень по почерку определяешь
Конкретно , какой софт к примеру может решить задачу? Программы слежения все легко палятся - в смысле грамотный юзер заметит что его наблюдают, и без прав админа не поставишь.

Цитата:

И ещё как можно называть програмистов пользователями

Ну не админы же они . В принципе батник смотрящий процессы юзерой и киляющие проги из запрещенных списков ( pskill и пр.) может помочь. Ну и много играющий полюбому играть недолго будет
Кстати по теме: для висты и 7 ки как я понимаю политику ограничения программ можно уже применять к отдельным пользователям, те более гибко.
Еще вопрос - на первых страницах мелькало что на проги в systemroot все политики ограничения не будут действовать? Т.е. я не смогу запретить пользователю васе запустить к примеру net.exe ? НТФС права тут не помогут?

Программка по теме:

Process Blocker

http://www.processblocker.com/

Блокирует программы по имени исполняемого файла. Но стоит последить за ней, т.к. в планах разработчиков есть не мало интересных идей. Пока бесплатна.

Цитата:

Ситуация: есть WinXP, в домене. Контроллер под windows 2000 Advanced server. Сделал ограничение на запуск П.О. в локальных политиках XP. Поставил по умолчанию запрет всего, короме разрешенных программ. Применил (gpupdte). Применилось.
Но есть одна проблема: если запускать разрешенную программу путем запуска exe-шника (например, перейти в c:\windows\notepad.exe и щелкнуть по нему), то программа запускается, а вот если щелкать по ярлыку - нет. Компоненты приложений разрешены, LNK в список разрешенных компонентов входит. Что я неправильно делаю?


Решил проблему созданием правила для пути вида "*.lnk:неограниченно".

Подскажите как решить это для DOS программ?

Добрый день.
Ищу совета.
1.Необходимо запретить запуск одной (конкретной) программы при условии незапущенной другой (конкретной) программы.
2.И также при выгрузке одной (конкретной) программы (в т.ч. ее креш) обязательная выгрузка запущенной другой конкретной программы.
Данная функция не должна сопровождаться никакими вспомогательными (дополнительными) действиями конечного пользователя.
Или укажите нужную тему на ru-board-e...
P.S. "одна (конкретная)" и "другая (конкретная)" не являются антивирусом, фаерволом и т.п.
Спасибо.

Люди, пожалуйста помогите. Вопрос по Висте. У самого её нима, потому к вам обращаюсь. Вобщем, кто бы мог сделать reg-файл для максимальной блокировки действий учётки. Проясню. Есть Виста. Есть 2 учётки (Admin и User). Права у обоих пока админские, ну это для насторйки сети и одного приложения. Вот. Хотелось бы увидеть reg-файл по нажатию на который всё лишнее из User'a убирается (скрыть всё по-максимуму рабочий стол (все иконки), изменение времени, запуск реестра что там ещё можно? да оставить в системном трее время и иконку подключения ЛВС, так сказать индикатор рабочего состояния, но запретить что-либо по нажатии по ним изменять и вообще заблокировать запуск любых сторонних приложений, да и внутрисистемных (карты, paint, cmd, calc, проводник e.t.c) кроме одной (трех) служебной программки). Так сказать исключение, которое(ые) можно заранее указать в reg-файле, подредактировав его. Желательно решение стандартными средствами системы (не инсталлировать никаких сторонних программ) и без применения брэнмауэра. Оставить только кнопку пуск с автозагрузкой, в которой и будет сидеть одна программка и пункт смены пользователя. Ну и возможность (лазейку) чтобы вернуть всё в зад, то есть такой же reg, но отпирающий (unlock) учётку Узера, если потребуется что-то изменить. Естественно после этого (залочивания) зайдя из-под Админа к Узеру применить ограниченная уч. зап. из панели инструмнетов. Была когда-то такая утиль fitw. Более старые версии не требовали инстолла. При запуске считывала текущие установки реестра. Можно было предварительно считать и сохранить unlock. Но она не актуальна для Висты, а к тому же как-то глюковато работает с Вистой. В принципе блочит, но хотелось бы услышать совета кто такое уже проделывал, как и чем. На одной машине fitw не завелась - сразу error. На другой залоченного узера разлочил, сделал свои дела, хотел опять залочить ранее сохраненным профилем, причём этой же прогой этой же машины, а нне-е-т не хочет. Ошибка. Хотя после всех изменений перезагружался как положено.

Sinclair83

Не прокатит такое, лучше включите user в группу гости.

Добавлено:
Плюс выполните gpedit.msc и посмотрите параметры.

attaattaatta
жаль что заблаговременно не получается заготовить такой файлик. а ситуация такая, что ставить своего ничего низззя и по времени работы ограничен (экспериментировать не дадут). комп-ы в работе отображают некий набор данных, который время от времени нужен для посадки ВС. отсюда и следуют эти вынужденные меры по ограничению прав. от греха подальше. дисп. состав в затылок дышит. естественно унести их все 5шт в одну свободную комнату и спокойно поработать никто не даст. потому-то и спрашивал про готовое решение. а реально ли тогда оставив все на виду (пусть облизываются) сделать запуск по хэшу только нужных пользователю программ. где-то здесь такое пробегало, видел. при помощи гр. политик говорят очень гибко (жестко) можно раздавать права. нужна конкретная инструкция. чтоб пришел и не плавая в настройках целенаправленно по шагам все скоренько заблочил ненужное.

У меня такой вопрос - как заблокировать инсталляцию или деинсталляцию любых программ на одном компе без настроек администратора.
Я знаю уже что есть такие проги как KillerWindow или Censor 2... но они платные и я рыл по всему инету и не нашел кряка. А если кряк нашел то проги нет ...
Подскажите плз. или ссылочку киньте ...
Спасибо.

Sergey_Gry
http://download.chip.eu/ru/Windows-SteadyState_1352301.html

Здравствуйте!
Как в "Запуск только разрешенные приложения Windows" указать сетевой выполняемый файл?
\\fsc\Рабочие Программы\ARM.exe
не дает запускать
если просто добавить ARM.exe то программа будет запускаться.
Надо что бы политика разрешала выполнять программы только с определенного сервера.
Спасибо!

единственный вариант ставить программы типа mcafee firewall
которые по md5 хешу дадут исполнять только разрешенные программы
остальное бред и легко обойти

Люди, подскажите. Есть ли способ сделать себя не пользователем с ограниченными возможностями, а Админом, вопреки указаниям самих же админов? Просто ситуация такая: на работе приходится из-за этого идти к другому компу кто знает куда, чтобы запустить файл в печать. А если был бы полный доступ, то можно посылать этот файл прямо с моего компа. Так раньше и было, пока вредные админы зачем-то не внесли меня в список ограниченных пользователей.

LlodikK Ну кто же тебя здесь тебя будет этому учить, если здесь почитай одни админы и собрались? Корпоративная солидарность братьев по оружию, все-таки.
Это все равно как если бы ты пошел в милицию и попросил научить воровать так, чтобы не поймали
Иди в Андеграунд, пусть тебя там плохому научат.

Farch

Цитата:

единственный вариант ставить программы типа mcafee firewall
которые по md5 хешу дадут исполнять только разрешенные программы
остальное бред и легко обойти

Интересная идея . А есть-ли возможность потом это централизованно контролировать, управлять. Не сталикавились ?

vvnet

Цитата:

которые по md5 хешу дадут исполнять только разрешенные программы

а стандартные средства чем хуже?

подскажите плиз люди добрые. Есть сервак на win2008r2, на нем AD, DNS, DHCP и т.д. Пока сделал две учетки - админ домена и пользователь домена. Для пользователя создал свою ou, настроил групповые политики на запуск только определенных программ в
конфигурация пользователя/шаблоны администрирования/система. Пока разрешил запускаться только автокаду, ворду и винрару. Так вот, автокад и ворд запускается без проблем, а винрар просит ввести имя/пароль администратора. Как от этого уйти?

CtrlSoft

Цитата:

а стандартные средства чем хуже?

А можно подробнее?
Здесь сказано, что возможно хеширование:
http://technet.microsoft.com/en-us/library/bb457006.aspx

Но пока трудно разобраться.

Как сделать вот такое:

Цитата:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"1"="winword.exe"
"2"="excel.exe"

Но еще и с проверкой хеша?

ghosty
может тут есть? http://support.microsoft.com/kb/324036/ru

ghosty
Варианты с "RestrictRun" и "DisallowRun" были в Винде исторически первыми (не считая сторонних решений), легко обходятся переименованием исполняемых файлов, кроме того, влияют лишь на запуск программ из среды Windows Explorer (только!). Сейчас лучше использовать "Software Restriction Policies".
Эти два метода не имеют друг к другу прямого отношения. Нет смысла использовать одновременно оба. С другой стороны, если очень хочется, почему бы и не использовать? Тогда настраивайте оба по отдельности.

CtrlSoft

Хуже тем что нужно иметь AD.
Вот например у ESET есть ERA SERVER - который позволяет управлять настройками антивируса на всех компах. Кстати у NOD32 есть даже возможность отключать определение USB storage. И удобно было одновременно выключить везде через консоль сервера, в реальном времени. Вот было здорово если бы можно было управлять разрешенным софтом через консоль. В идеале бы то тогда вобще ничего на комп не попадало, лишнего.

Через политику ограниченного использования программ запретил запуск любых программ, кроме указанных, при попытке запуска любого приложения появляется сообщение о запрете запуска. Подскажите, пожалуйста, как убрать это сообщение, т.е. просто ничего не запускается без объяснения причин, это возможно?