Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Запрет на установку и удаление программ
 
Вобщем, есть одноранговая сеть с раб. группами. Всем машины работают под локальным админом. Можно ли как-то запретить установку и удаление програм 1 из учетных записей локальных администраторов?
 
Да можна через групповую политику безопасности
запусти на машине на которой шочеш ето сделать
пуск ---> выполнить
а там введи  C:\WINDOWS\system32\gpedit.msc
Там есть административные шаблоны (снизу)
Там в них покопайся. Не помню точно где можно запретить установку и удаление
программ и еще много чево

Потом завершы сеанс и зайди снова. Должно работать
НО УЧТИ ВСЕ ШО ТЫ ТАМ СДЕЛАЕШ БУДЕТ ПРИМЕНЯТСЯ К Л Ю Б О М У ПОЛЬЗОВАТЕЛЮ
будь ты простой узер или трижды администратор.
Такшо осторожно (там везде есть пояснения. Почитай их)
Еслы есть домен тогда проще раз нв серваке поставил и все
 
мсье знает толк в извращениях. Стандартные решения: отобрать у юзеров админа (ессно, с настройкой прав для нужных приложений), либо поднятие домена. А с правами админа особо ушлые пользователи из любого ограничения вылезут. От не ушллых можно сломать службу AppMgmt (снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs), решение не универсальное но серебрянной пули все равно не найдешь. Еще можно средствами нтфс запретить создание папок в Programm Files, большинство инсталяторов это озадачит.
 
f_s_b_37, все дело в том, что есть приложения которые в случае перевода на пользователя лезут к защищенным от юзеров веткам реестра. Посему, чтобы не парить мозк было решено нашим не ушлым пользователям оставить права админа, запретив лишь устанавливать и удалять проги. в gpedit есть параметр, котрый запрещает использования для current user-а виндуз инсталлера. Да, это, несомненно, помогает избежать установки некоторых больших комерческих прог (автокад, 3дмакс, лира и т.д.), которые устанавливаются непосредственно через него. Но остается еще часть прог, которые его НЕ используют. В плане, усталавливаются не через WI. А, разве, просто остановка службы AppMgmt дает не тот же эффект, который дает запрет WI через политики?
 
Ето не извравщение
а стандартное решение от компании дяди Била
и появилось оно лет 8 назад для Windows WorkGroup 3.11
называлоcь poledit (оно к стати есть е сейчас и находится там же)
потом перекочевало на NT 4 а потот на 2000 и XP и вот оно как раз
и делает нужные изменения в реестре для ограничения пользователей
как в домене так и для локальных машин
А вот убивать что-то в реестре если ето можно сделать через gpedit
помоему вот ето извращение
А ты ето пробовал ?
снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs)универсальное
Попробуй. Получиш не забываемые впечетления
Особенно при отработке планировщика задач
И еще есть проги Которые запускаются только под права админа
Например "АВК" и другие хоть став ты им права на нужные папки какие хочь
а все по тому что есть такое понятие как "ВЛАДЕЛЕЦ ПАПКИ" и быть им должен администратор

иначе геморой (например с Acad 2000 - 2009)
А насчет домена так там же делается все тоже через групповую политику
только  применяетсь  ее можно сразу на группу юзеров
Насчет NTFS ето мысль хорошая
Изменено: Анатолий * - 08.07.2009 09:51:31
 
Цитата
Анатолий Сидорук пишет:
Ето не извравщение а стандартное решение от компании дяди Била
я про саму задачу без поднятия домена или лишения админских прав.
Цитата
Анатолий Сидорук пишет:
А ты ето пробовал ? снести строку в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs)универсальное Попробуй. Получиш не забываемые впечетления
я предлагал снести оттуда только AppMgmt, а не весь параметр. С работой при сломаном планировщике уже сталкивался, действительно, незабываемо  :sensored:.
 
Еще есть какие-нибудь решения?
 
Не использовать рабочие группы
Все ящики включить в домен

Поднять на Active Directory политику безопасности
она применится на все компютеры домена

Паралельно диск с на NTFS поставить права всем на чтение кроме
SYSTEM и администатор домена и локальный админ
папку TEMP все на изменение чтобы офис шмофис запускался и прочие проги
Ну и папки с нужными прогами если не будут работать нормально
тоже поставить всем на изменение
Папку C:\Documents and Settings всем на полный доступ иначе бубут глюки
с профилями

Переменные среды КАЖДОГО юзера указать не %USERPROFILE%\Local Settings\Temp
а %SYSTEMROOT%\Temp


Если без домена
То делать на NTFS доспуп как я сказал
Изменено: Анатолий * - 08.07.2009 11:58:06
 
Для не ушлых юзеров под админом можно прописать запрет на запуск *.msi или других инсталлеров, но лучше "Выполнять только разрешенные приложения для Windows" (сразу много заботы, но потом - "хожу, курю"). Все через ЖоПуЕдит или прямо в реестр.
 
Меня интересует немного другой вопрос. Как установить пароль на установку и удаление программ в Win XP и Win 7, для пользователя "гость"? На данных компьютерах будут два пользователя "администратор" и "гость".
Страницы: 1
Читают тему (гостей: 1)