» запрет на запуск любых программ кроме указанных

Как запретить запуск любых программ кроме списка указанных для локального юзера. Т.е. на одном компьютере (под WinXP) есть 2 пользователя - админ и просто юзер А, как сделать, чтобы к примеру юзер А мог запустить только Excel и Word?
В администрировании не силен, поэтому буду рад подробностям или ссылке, где можно подробнее почитать об этом.

пользуйся поиском
к примеру смотри http://forum.ru-board.com/topic.cgi?forum=8&topic=8612#1

этот топик я видел, там все сделано с доменом. А в моём случае имеется всего одна машина с двумя пользователями.

sdexter
Пуск >Программы>Администрирование> Локальная политика безопасности.
>Параметры безопасности > Политики ограниченного использования программ.

у тебя это есть ? (не помню, есть ли это в XP).......

G14, да такое есть. Поможешь разобраться?

с тем, о чем сказал G14, я разобрался уже. Но там можно ограничить либо всем пользователям, либо всем пользователям кроме админов. А можно ли что-то подобное сделать не для всех юзеров, а только для одного например?

sdexter

Код:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun

FreemanRU
такой запрет не работает, если запустить приложение из консоли.

sdexter
Само собой.... а зачем юзверю консоль??? Её тоже отключить...
Также под запрет не попадают файлы из system32 & system

и еще это не помешает юзеру переименовать какую нибудь игруху, не требующую инсталяции в разрешенный winword.exe или принести его на CD например (не закрывать же доступ к CD впридачу).

sdexter
Тогда встроенных решений нет.... Да и пользователь должен знать, какие приложения можно запускать.
Хотя если хорошо к этому подойти, все можно настроить и встроенными средствами. Дать права пользователю только на чтение, запугать, отобрать мышку и т.д. и т.п. (последнее предпологает административные меры).

Цитата:

Запрещение запуска программ
Windows позволяет ограничить доступ к программам, кроме разрешенных в специальном списке.

Для ограничения запускаемых программ надо открыть раздел HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\Explorer и создать там ключ RestrictRun типа DWORD со значением 0х00000001. Затем тут же надо создать подраздел с аналогичным именем RestrictRun и в нем перечислить список РАЗРЕШЕННЫХ к запуску программ для текущего пользователя. Записи в этом подразделе пронумеровываются, начиная с 1, и содержат строки с путями (необязательно) и именами приложений. Файлы должны быть с расширением. Например, Word.exe, Excel.exe ...

Не забудьте указать файл Regedit.exe, иначе Вы сами не сможете больше запустить редактор реестра! Для сброса ограничения на запуск программ надо установить значение ключа RestrictRun в 0



--------------------------------------------------------------------------------

© 2002-2004 А.Климов, И. Чеботарев
http://www.whatis.ru/
http://winchanger.narod.ru

sdexter
да, втсроенными средсвами такого не решиш.
бились.

но есть моя программка (правда тока под Win98) которая сверяет контрольные суммы фалов и дает добро/злоя на запуск фала. ))

ЗЫ
а юзеру лучше все запрещать

Всем спасибо!

А может подскажете какие есть варианты для запрета Сапёра, Пасьянса и иже с ними , то есть тех что идут в стандартной поставке, или деисталировать их как-нибуть законными способами. Пробовал удалять их, но система защиты их востанавливает, а отрубать систему защиты не хочется, потом опять хлопота не оберёшся.

С Пинболом разобрался быстро запретил доступ к папке юзверям.

Прошу прощения у
Цитата:

Stoune1

если ошибусь но мне кажется что игры можно удалить как компонент операционной системы
Пуск |- Настройка |- Панель управления |- Установка и удаления программ |- Установка компонентов Windows Игры удалить

Подниму тему...
Подскажите пожалуйста, где в GPO Win2003 поставить запрет на установку ПО?.
В групповых политиках домена поставил "Политики ограниченного использования программ". Убрал "неораниченный" режим запуска приложений из "Program Files". Добавил нужные программы в правила разрешенные к запуску по хешу. Думаю этого будет достаточно в моём случае. А вот где находится запрет на устновку ПО - не могу найти, не подскажете?
Заранее спасибо

Stoune1

Цитата:

а отрубать систему защиты не хочется, потом опять хлопота не оберёшся

сначала отрубил, затем удалил, ехе файлы, затем снова врубил
valdi77

Цитата:

если ошибусь но мне кажется что игры можно удалить как компонент операционной системы

или так

Цитата:

Подскажите пожалуйста, где в GPO Win2003 поставить запрет на установку ПО?.

дай юзверям права юзверей и они не будут устанавливать ПО ибо неположено с правами юзверя чет устанавливать....

Gabzya

Цитата:

дай юзверям права юзверей и они не будут устанавливать ПО ибо неположено с правами юзверя чет устанавливать....

стоят права юзверя, спокойно устанавливают контру, только не в програм файлы а вдругое место
а потом свободно играются

странно... попробуй запретить доступ ко всему кроме My Documents

Цитата:

спокойно устанавливают контру, только не в програм файлы а вдругое место
а потом свободно играются

А играют по сети?
Если да то можно запретить в настройках сети порты, оставить только стандартные типа 80, 110, 139, 138, и т.д.
И закрыть через политику доступ к сетевым настройкам...

Квоту им 1Мб

yurynok
а можно поподробней с этого момента

Цитата:

Если да то можно запретить в настройках сети порты, оставить только стандартные типа 80, 110, 139, 138, и т.д.

как это сделать ? а то что то я ничего такого не нашел

свойства TCP/IP -> advanced->options-> tpc/ip filtering-> задаем там нужные порты, главное не забыть все нужные порты

Далее, задаем в политеке через АД запрет на изменение настроек сети.

Думага у руководства, за игры 100$ из з.п.
Переодические обход компов с проверкой.

yurynok
а в АД через политики такие опции можно задать или ходить на каждом компе задавать порты ?

squid
можно задать через IP Security Policies

а для win98 можете посоветовать решение (прогу), комп без домена. надо чтобы загружался и запускалось пару прог, без возможности удаления с диска файлов.

ALL
народ к чему такие сложности? в политиках (в домене) настраивается не только IP но и файрвол с заретом редактирования списка пользователем, потом если не хотим ждать gpupgate - и юзеры больше не играют в контру по сети там все те же запреты на запуск ставятся (кстати там же - GPO - можно выставить исключения по которым занятые админы все же смогут играть в контру ), а вообще пишем небольшой скриптик и делаем аудит появившихся файлов на винте хотябы потому же *.exe и автоматическое удаление по свойствам (читать "в поле "описание"") коротого есть определенное слово


Добавлено:
PS у меня стоит Everest запускающийся на компах раз в сутки включая файловый сканер и значения основных полей складывает в БД вот все руки не дорастут на обработку файлов отчетов, для чистки винтов на основе этих данных, а вообще решений масса кому что нравится... тот же SMS тоже может собирать аудит данные и на их основе делать те же самые действия, но ета штука уже для массового убийства и на большое количество компов

Почитал топик, но не получается у меня запретить использование internet explorer'а, это вообще возможно?

kazavo4ka
А как-ты делаешь? Опиши?